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Erfa- Kreise 

Hamburg 

Lokstedter Weg 72, D-20251 Hamburg, mailto:mail@ham- 
burg.ccc.de.l http://hamburg.ccc.de Phorie: +49 (40) 401 
801-0 Fax: +49 (40)401 801 - 41 Voicemailbox +49 (40) 
401801-31. Treffen jeden Dienstag ab ca. 20.00 Uhr in den 
Clubräumen. Der jeweils erste Dienstag im Monat ist Chaos- 
Orga-Plenum (intern), an allen anderen Dienstagen ist jede(r) 
Interessierte herzlich willkommen. Öffentliche Workshops im 
Chaos Bildungswerk fast jeden Donnerstag. Termine aktuell un- 
ter http://hamburg. ccc. de/bildungswerk/. 

Köln 

Chaos Computer Club Cologne (c4) e.V. 
Vogelsangerstraße 286 / 50825 Köln 
50°56'45"N, 6°51'02"O (WGS84) 
http://koeZn.ccc.de/ Je\. 0221-5463953 
mailto:oeffentHche-anfragen@koeln. ccc. de 
Treffen Dienstags 20:20 



Berlin 

Club Discordia jeden Donnerstag zwischen 17 und 23 Uhr in 
den Clubräumen in der Marienstr. 1 1 , Hinterhof in Berlin-Mitte. 
Nähe U-/S-Friedrichstraße. Tel. (030) 285986-00, Fax. (030) 
285986-56. Briefpost CCC Berlin, Postfach 640236, D-10048 
Berlin. Aktuelle Termine unter http://www.ccc.de/berlin 

Ulm 

Kontaktperson: Frank Kargl <frank.kargl@ulm. ccc. de> 
mai!to:mail@ccc. u/m. de I http: //www. u/m. ccc. de/ 
Treffen: Montags ab 19.30h im 'Cafe Einstein' in der Universität 
Ulm. 

Vortrag chaos-seminar: Jeden ersten Montag im Monat im Hör- 
saal 20 an der Universität Ulm. 

Bielefeld 

Kontakt Sven Klose Phone: +49 (521) 1365797, maii- 
to:mai/@bie/efe/d.ccc.de.Treffe*n Donnerstags, ab 19.30 Uhr in 
der Gaststätte 'Pinte', Rohrteichstr. 28, beim Landgericht in Bie- 
lefeld. Interessierte sind herzlich eingeladen. 



Chaos-Treffs: 

Aus Platzgründen können wir die Details aller Chaos-Treffs hier 
nicht abdrucken. Es gibt in den folgenden Städten Chaos-Treffs, 
mit Detailinformationen unter http://www.ccc.de/ChaosTr- 
effs.htmt. 

Bochum/Essen, Bremen, Burghausen /Obb. und Umgebung, 
Calw, Dithmarschen/Itzehoe, Dresden, Emden / Ostfriesland, 
Eisenach, Erlangen /Nürnberg/Fürth, Frankfurt a.M., Freiburg, 



Freudenstadt, Giessen/Marburg, Hanau, Hannover, Ingolstadt, 
Karlsruhe, Kassel, Lüneburg, Mannheim /Ludwigshafen/Heidel- 
berg, Mönchengladbach, München, Münster/Rheine/ Coesfeld 
/Greeven/Osnabrück, Rosenheim /Bad Endorf, Neunkirchen/ 
Saarland, Würzburg, Schweiz /Dreyeckland: Basel, Österreich: 
Wien 



Impressum 

Herausgeber 

(Abos, Adressen, etc.) 

Chaos Computer Club e.V. 

Lokstedter Weg 72, D-20251 Hamburg 

Tel. +49 (40) 401 801 -0, Fax +49 (40) 401 801 -41 , 

mailto:office@ccc. de 

Redaktion 

(Artikel, Leserbrief etc.) 

Redaktion Datenschleuder, Postfach 640236, D-10048 Berlin, 
Tel. +49 (30) 285.986.56 / mailto:ds@ccc.de 

Druck 

Pinguin-Druck, Berlin {http://www.pinguindruck.de/) 
ViSdP 

Tom Lazar, <tom@tomster.org> 
Mitarbeiter dieser Ausgabe 

Tom Lazar <tom>, Andy Müller-Maguhn <andy>, Jens Ohlig 
<jens>, Yannick <yannick>, Yinnick <yinnick>, Constantin Seibt 
<cs>, Christoph Rothe <redbaron>, Matthias Mehldau <wet- 



ter>, Carsten Wenzlow <knuckles>, Arne Ludorff <arne>, Dra- 
gan Espenschied <esp>, Alvar Freude <alvar>, The Artist 
<BGGFFICG> 

Eigentums vorbehält 

Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem 
Gefangenen persönlich ausgehändigt worden ist. Zur-Habe- 
Nahme ist keine persönliche Aushändigung im Sinne des Vorbe- 
halts. Wird die Zeitschrift dem Gefangenen nicht ausgehändigt, 
so ist sie dem Absender mit dem Grund der Nichtaushändigung 
in Form eines rechtsmittelfähigen Bescheides zurückzusenden. 

Copyright 

Copyright (C) bei den Autoren. Abdruck für nichtge- 
werbliche Zwecke bei Quellenangabe erlaubt. 



#074 / Frühjahrsimulation 2001 



die ddtFnschLpudpr. 



CELEITWORT / INHALTSVERZEICHNIS 



Human Error 



Your Name Brand Operating System and Browser, in conjunction with The Computer Indu- 
stry, has determined that you have comitted a serious error. You will be permitted to con- 
tinue on to the requested site on a temporary basis. The error described below must be 
corrected within 30 days to avoid undesired consequences. 



The Computer Industry, after reviewing your 
purchasing history, has determined that you 
have failed to spend your prescribed minimum 
amount for new hardware and Software. In 
order to better serve you, The Industry may, at 
it's sole Option and without notice, terminate 
your Computer, Software, internet Service, tele- 
phone Service, cable connection, credit card, 
bank account, and life. Please assist us as we 
continue to work toward our Great New Future 
by obeying the Instructions below. Failure to 
comply will force The Industry to escalate this 
incidentto an Illegal Operation. Occasional 
extreme cases may require a Fatal Exception. 

• Print this page, You will need it during later 
Steps. 

• Backup all your existing data. Be sure not to 
backup any Software. User data will include 
your documents, photos, spread sheets, and E- 



mail. Please do not ask us how to do this. The 
Industry only teils you what is required of you, 
not how to do it. 

• Next, place your Computer, mouse, keyboard, 
monitor and all Software in the trash. It is 
important that you do not allow anything to be 
reused, as this will violate many Software licen- 
ses and interfere with The Industry's revenue 
growth. 

• Check your favorite advertising sources for 
newly released Computers and Software. Please 
pay particular attention to release and availabi- 
lity dates. Select ONLY the very newest model 
of Computer and the most recently released 
operating System. Purchase a new Computer, 
operating System, and application Software. 
Use credit if necessary. 

• Restore the user created data you backed up 
in a previous step. Again, do not ask us how to 
do this. That is your responsibility. 

• Repeat at least once every year. 
Resistance is Futile 

The Industry 

The Artist <theartist@art-techo.net> 



Chaos Realitätsdienst: Kurzmeldungen . 
Staatssicherheit aufgelöst 
oder das Operationsgebiet eingenommen? . . 
SecurEdoc bei TNT: 

Ein kleiner, feiner Hack und ein mittlerer Dati 

chutzskandal 

Dummheit - ein grausamer, globaler Gott 12 

Virtuelles Datenschutzbüro gegründet 15 

CIA MANUAL - A STUDY OF ASSASSINATION . 1 7 

Machtstrukturen und Zensur im Internet 25 

Das besondere Buch[TM] 29 

ermine 32 



die datphschlpudpr. 



074 / Frühjahrsimulation 2001 



inn«ir 



CHAOS REALITÄTSDIENST: KURZMELDUNGEN 



Aus dem Papierkörbchen einer Landesre- 
gierungsbehörde 

"Sehr geehrte Kolleginnen und Kollegen, an 
allen PCs im [...] werden wir über das Landes- 
verwaltungsnetz einen Internetzugang realisie- 
ren. Dieser Zugang muss aus 
Sicherheitsgründen und entsprechenden Vor- 
gaben des Landesbeauftragten für Datenschutz 
auf die dienstlich notwendigen Internetseiten 
beschränkt werden. 

"Wir bitten Sie, den luK-Referat [1] [...] die von 
Ihnen benötigten Internetseiten zu benennen. 
(Bitte grundsätzlich die URL, also z.B. http:// 
www.baden-wuerttemberg.de oder ausnahms- 
weise, falls nicht möglich, eine umgangssprach- 
liche Beschreibung, die uns das Auffinden 
ermöglicht, zu benennen.) 

Aus den gemeldeten Seiten werden wir dann 
das Gesamtangebot erstellen. 

Mit freundlichen Grüßen [...] 



Datenschutzbedenken gegen Payback - 
Rabattsystem werden vom Cericht bestätigt 

Die Datenschutzaufsichtsbehörden der Länder 
Bremen, Berlin, Niedersachsen, Nordrhein- 
Westfalen und Schleswig-Holstein begrüßen 
die jetzt veröffentlichte Entscheidung des Land- 
gerichts München I vom 1 . Februar 2001 (Az.: 
12 O 13009/00) - noch nicht rechtskräftig. Das 
Landgericht hat zwei Klauseln in den Anmelde- 
formularen des Payback-Rabattvereins e.V. auf 
Klage des Berliner Verbraucherschutzvereins 
beanstandet. Das Gericht hat in seinem Urteil 
dem Payback-Rabattverein verboten, die in 
den Antragsformularen enthaltenen zentralen 
Einwilligungsklauseln zur Datenverarbeitung zu 
verwenden oder sich auf diese Klauseln bei der 
Abwicklung derartiger Verträge zu berufen. 



[1] Anm. d. Red.: luk = Information und Kommunika- 
tion 

n™»i 



Das Gericht sieht in den Klauseln eine unange- 
messene Benachteiligung der Kundinnen und 
Kunden und erklärt die Einverständniserklärung 
betreffend die Verarbeitung und Nutzung der 
personenbezogenen Angaben gemäß § 9 Abs. 
1 und Abs. 2 Nr. 1 AGB-Gesetz i.V.m. §§ 4 und 
28 Bundesdatenschutzgesetz für unwirksam. 
Damit darf Payback die Daten seiner jetzigen 
Kundinnen und Kunden nur nach den Vor- 
schriften des Bundesdatenschutzgesetzes ver- 
arbeiten, so weit dies zur Durchführung des 
Rabattverfahrens erforderlich ist. Vor rund 
einem Jahr ist das Rabattsystem " Payback" von 
einigen großen Firmen (real, Galeria-Kaufhof, 
DEA, Apollo, Consors, Europcar, AOL, dm-Dro- 
gerie Markt u.a.) eingeführt worden. Mittler- 
weile sind es über 20 Unternehmen, weitere 
sollen hinzukommen. Für die datenschutzrecht- 
liche Prüfung ist die bayerische Datenschutz- 
aufsichtsbehörde zuständig. Seit Einführung 
der Karte reißen die Nachfragen von besorgten 
Bürgerinnen und Bürgern und der Presse bei 
den Datenschutzaufsichtsbehörden nicht ab. 
Das liegt daran, dass weder die Einverständnis- 
erklärung noch die Allgemeinen Geschäftsbe- 
dingungen hinreichend deutlich machen wer 
über welche Daten verfügt und wo und von 
wem, welche Daten verarbeitet werden. Auch 
ist nicht klar: Werden die Daten über die 
gekauften Waren zusammen mit den perso- 
nenbezogenen Daten der Kundinnen und Kun- 
den für alle Zeit gespeichert und 
weiterverarbeitet? Welche Daten werden per- 
sonenbezogen zwischen den Partnerunterneh- 
men ausgetauscht? Was sind die in den 
Geschäftsbedingungen genannten Mailings , 
und welche personenbezogene Daten werden 
hierfür verarbeitet? Zweifel der Datenschutz- 
aufsichtsbehörden werden nunmehr durch das 
Urteil gerichtlich bestätigt. Die unklare Einver- 
ständniserklärung, die die Kundinnen und Kun- 
den abgeben müssen, entspricht nicht den 
Anforderungen des Bundesdatenschutzgeset- 
zes (§ 4 Abs. 2 BDSG). Der Teilnehmer wird 
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nämlich weder eindeutig über Umfang und 
Zweck der Speicherung und die vorgesehene 
Datenübermittlung (welche Daten werden an 
Partnerunternehmen von Payback weitergege- 
ben) hinreichend unterrichtet, noch wird den 
Kundinnen und Kunden eine hinreichende 
Möglichkeit eingeräumt, einzelne Datenverar- 
beitungsformen nicht zuzulassen. Was dem 
Kunden häufig nicht klar ist: Selbst bei Barzah- 
lung wird er beim Kauf mit Rabattkarte eindeu- 
tig identifizierbar. Die Daten ermöglichen, das 
Kaufverhalten über mehrere Produktbereiche 
und Unternehmen hinweg personenbezogen 
auszuwerten. Aus der Verarbeitung persönli- 
cher und kaufmännischer Daten kann zu jedem 
Teilnehmer ein Profil gebildet werden, das den 
Verbraucher zum gläsernen Kunden macht. 
Die Datenschutzaufsichtsbehörden erwarten 
nach dem Urteil nicht nur eine Korrektur der 
Anmeldeformulare, sondern eine klare Aufklä- 
rung der Kundinnen und Kunden, was mit 
ihren Daten in welchen Verarbeitungsphasen 
gemacht wird: Wenn das informationelle 
Selbstbestimmungsrecht gewahrt bleiben soll, 
müssen die Kundinnen und Kunden selbst ent- 
scheiden können, was mit ihren Daten 
geschieht. Wenn es den Unternehmen wirklich 
nur um die Kundenbindung geht, wie in den 
bunten Prospekten erklärt wird, sollte Payback 
wenigstens mit einer Variante seinen Kundin- 
nen und Kunden ermöglichen, nur Rabatt- 
punkte zu sammeln, ohne dass es zu einer 
weiteren Verarbeitung ihrer Daten zu anderen 
Zwecken kommt. Die Datenschutzaufsichtsbe- 
hörden werden die weitere Entwicklung auf 
diesem Gebiet der Kunden-/ Freundschafts-/ 
oder Rabatt - Kartensysteme, insbesondere 
nach Aufhebung des Rabattgesetzes, kritisch 
im Auge behalten. <tom> 

Quelle: /;ff J o.//Www.datenschutzzentrum.de 



Ex-MI6 Agent veröffentlicht Memoiren im 
Internet 

Richard Tomlinson hat nicht nur ein Buch über 
seine Tätigkeit beim Britischen Geheimdienst 
geschrieben, das als Abrechnung angesehen 
werden kann, sondern es auch kostenlos im 
Internet veröffentlicht. John le Carres Romane 
sind zwar spannender, aber immerhin hat der 
MI6 mit allen Mitteln versucht, die Veröffentli- 
chung dieses Buches zu verhindern... <tom> 

Quelle: Mtp./Aivjw. thebigbreach.com/download/ 



deCSS revisited... 

Ganze sieben Zeilen perl braucht es mittlerweile 
nur, um das sowieso schon blamable 'Content 
Scrambling System' zu entschlüsseln mit dem 
die Motion Picture Association of America 
(MPAA) das Kopieren von DVDs verhindern 
wollte. Bevor deren Anwälte jetzt auch die Ver- 
breitung dieses Codes durch Abmahnwellen 
unterbinden, schafft die Datenschleuder Fak- 
ten und druckt das kleine Meisterwerk einfach 
mal ab ;-) 

#!/usr/bin/perl -w 

# 531-byte qrpff-fast, Keith Winstein and Marc Horowitz 

# <sipb-iap-dvd@mit.edu> MPEG 2 PS VOB file on stdin -> 

# descrambled Output on stdout 

# arguments: title key bytes in least to most-significant Order 
$_='while(read+STDIN,$_,2048){$a=29;$b=73;$c=142;$t=25 
5;®t=map{$_%16or$t A =$c A =($m=(1 1,1 0,1 16,100,1 1,122,20 
,100)[$_/16%8])&110;$t A =(72,ez=(64,72,$a A =12*($_%16 

2?0:$m&17)),$b A =$_%64?12:0,az)[$_%8]}(16..271);if((@a= 
unx"C",$_)[20]&48){$h 

=5;$_=unxb24,join " " ,@b=map{xB8,unxb8,chr($_ A $a[-- 
$h+84]))®ARGV;s/...$/1 $&/;$ 

d=unxV,xb25,$_;$e=256l(ord$b[4])«9lord$b[3];$d=$d»8 A ( 

$f=$t&($d»1 2 A $d»4 A 

$d A $d/ 

8))«17,$e=$e»8 A ($t&($g=($q=$e»14&7 A $e) A $q*8 A $q< 
<6))«9,$_=$t[$JA 

(($h»=8)+=$f+(~$g&$t))for©a[128..$#a]}print+x"C*",®a}'; 
s/x/pack+/g;eval 
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Man sells his soul for $400 on E-bay 

SEATTLE 2-9-01 (AP) E-bay has become the 
place to seil your soul. Adam Burtle, 20, sold his 
soul on the Internet auction site, fetching $400 
before the listing was removed and the Univer- 
sity of Washington Student and part-time auto- 
motive technician was suspended from the site. 

For his listing, the self-described atheist dis- 
played a picture of himself wearing an " l'm 
with stupid" T-shirt. 

"Please realize, I make no warranties as to the 
condition of the soul. As of now, it is near mint 
condition, with only minor Scratches," he 
wrote. "Due to difficulties involved with remo- 
ving my soul, the winning bidder will either 
have to settle for a night of yummy Thai food 
and cool indie flicks, or wait until my natural 
death." 

EBay has blocked similar auctions in the past 
but said Burtle's soul slipped through. 

The bidding started a week ago at 5 cents. 
Burtle's former girlfriend bid $6.66 but she was 
overtaken in the final hour of the auction on 
Thursday when the price shot up to $400. 

The buyer was identified as a Des Moines, 
Iowa, woman with an eBay feedback rating of 
zero, meaning she has no track record with 
other users of the Web site. 

"I don't think she's going to be able to collect 
on my soul, to be honest," Burtle said, adding 
he didn't intend for the ad to be taken 
seriously. 

"I was just bored, and l'm a geek," Burtle said. 
"So anytime l'm bored, I go back to my Inter- 
net. " 



Das Quartalszitat: 

Der Vorsitzende Richter am Landgericht Frank- 
furt, Heinrich Gehrke, der den Opec-Prozess 
geleitet und Fischer als Zeuge vernommen 
hatte, nannte die Ermittlungen "hochgradig 
lächerlich". Wenn die Staatsanwaltschaft 
"immer diese Maßstäbe anlegen würde, wäre 
sie zugemüllt mit Verfahren wegen Falschaus- 
sage", sagte Gehrke dem Sender n-tvb. Die 
Teile der Aussage Fischers, die zur Debatte 
stünden, hätten mit dem eigentlichen Prozess 
nicht das geringste zu tun gehabt, meinte der 
Richter. Vor deutschen Gerichten würde "von 
morgens bis abends gelogen". Die Folge der 
Ermittlungen sei, dass sich Zeugen künftig auf 
Errinerungslücken beriefen, wenn sie über 
Dinge befragt würden, die mehr als 30 Jahre 
zurücklägen. <tom> 

Quelle: Handelsblatt 20.02.01 
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Staatssicherheit aufgelöst 

oder das Operationsgebiet eingenommen? 

von Andy Müller-Maguhn 



"Nach langer Verzögerung der Antwort leugnet die Bundesregierung nun weitgehendst die 
skandalösen Vorgänge, die mir während meiner USA-Reise unmißverständlich berichtet 
wurden: [...] daß die CIA derzeit mit tatkräftiger Unterstützung bundesdeutscher Dienste 
ehemalige Stasi-Offiziere unter Vertrag nimmt." 

Aus einer Presseerklärung der innenpolitischen Sprecherin von Bündniss90/ Die Crünen 
vom 10.03.1992 



Ergebniss einer bisher erst groben Analyse 
von Datenhinterlassenschaften 

Manche Artikel basieren auf langen Geschich- 
ten. Bei anderen Artikeln ist es genau umge- 
kehrt: Artikel verursachen lange Geschichten. 
Bei diesem Artikel ist die Geschichte evtl. in 
beide Richtungen gleich lang. Und zwar ziem- 
lich. 

Als die Deutsche Demokratische Republik 
(DDR) aufgelösst wurde, hat sie neben merk- 
würdigen Errinerungen auch noch - so glaubte 
man - einen der bestdokumentiertesten 
Geheimdienste der Welt hinterlassen. Die 
Gauck-Behörde, offziell "Der Bundesbeauf- 
tragte für die Unterlagen des Ministeriums für 
Staatssicherheit der ehemaligen Deutschen 
Demokratischen Republik" verwaltet immerhin 
etliche Tonnen Akten und macht sie den 
betroffenen - Tätern wie Opfern - mit gewissen 
datenschutzrechtlichen Einschränkungen 
zugänglich. Geschichtsaufarbeitung sollte mög- 
lich werden. 

Die Bürger der ehemaligen DDR schienen 
erreicht zu haben was sie wollten: das Ministe- 
rium für Staatssicherheit (die "Stasi") war auf- 
gelöst, die DDR auch, ein paar leitende 
Funktionäre im Gefängniss und die DDR jetzt 



BRD. Und jetzt kommen wir zu den Schön- 
heistfehlern dieser Operation. 

Bei der Auflösung des Ministeriums für Staatssi- 
cherheit wurden ja, wie das neudeutsch so 
schön heißt "einige Arbeitskräfte dem Markt 
freigestellt." Schon die Frage wieviele Mitarbei- 
ter das Ministerium für Staatssicherheit denn 
hauptamtlich hatte, lässt sich leider nicht so 
einfach beantworten. Es gibt zwar einen Hau- 
fen Akten, und Personallisten, aber die Inter- 
pretationen dieses Materials gehen dann doch 
eher weit auseinander. 

Nun war für die Bürger der ehemaligen DDR 
die Frage, wer denn nun früher für die Stasi 
gearbeitet hat oder nicht, schon eine Frage. 
Man wollte schließlich nicht mit den selben 
Genossen noch einmal die - vermeintlich - 
neuen Staatsstrukturen aufbauen. Hilfreich war 
u.a. die "Liste der Hauptamtlichen Mitarbeiter 
des MfS " die seit den frühen Wer Jahren 
durch Publikationen der DDR-Bürgerbewegung 
verbreitet wurde. Sie enthält rund 100.000 
Mitarbeiter bzw. Datensätze (genau: 97.058 
plus minus ein paar) und gilt - präzise galt - als 
authentisch. Auch die juristischen Ausein- 
andersetzungen die die Verbreiter dieser Liste 
bekamen (Neues Forum wegen Abdruck, Nie- 

II Hill III" ™ III 
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derspende.de wegen Verbreitung im Netz) 
sprachen zumindest dafür, daß die Liste echte 
Namen enthält. 

Als die Bürgerbewegten die Daten in den frü- 
hen 90er Jahren mit dBase verarbeiten, waren 
die damals genutzten 386er eher an den Gren- 
zen ihrer Belastung. Bei 100.000 Daten fielen 
komfortable Suchaktionen und Quervergleiche 
eher aus. Das ist zum Glück heute etwas 
anders. 

Im Kontext eines Congresses in der ehemaligen 
Parteischule der Sozialistischen Einheitspartei 
Deutschlands (SED) der ehemaligen DDR kam 
neulich mal jemand vorbei und erzählt merk- 
würdige Geschichten: das ungefähr die Hälfte 
der Stasi-Mitarbeiter kurz vor der sogenannten 
Wiedervereinigung unter den Tisch gefallen sei. 
Zunächst war ein etwas toleranter Umgang mit 
dem Fassungsvermögen der eigenen Hirnstruk- 
turen gefordert: die Mauscheleien zwischen 
Ost- und Westdiensten, die der junge Mann 
skizzierte waren zwar in sich schlüssig, entbehr- 
ten allerdings auch nicht einer gewissen Kom- 
plexität. Nachweise sollten folgen. 

Ein Hinweis war, daß mit der erwähnten Mitar- 
beiterliste der Hauptamtlichen Mitarbeiter 
etwas nicht stimmte; bestimmte Geburtstage 
wurden in Ihnen fehlen. Und damit fängt die 
Geschichte an, auch wenn dieser Artikel nur 
eine erste Auflistung von Merkwürdigkeiten 
liefern kann. 

Die Mitarbeiterliste der Hauptamtlichen Mitar- 
beiter ist im Netz verfügbar: mit dem Dateina- 
men ma_stasi.zip wird man z.B. fündig. Welche 
Version ihr allerdings im Netz findet, die von 
welcher Dienststelle welchen Geheimdienstes 
modifiziert wurde, kann ich euch nicht sagen. 
Als Orientierung kann http://cryptome.org/ 
stasi-list.htm helfen. 

Die Struktur dieser Datenbank bzw. Liste 
besteht aus: 



• Personenkennzeichen (PKZ) 

Das PKZ ist das Identifikationskennzeichen für 
DDR-Bürger. Setzt sich zusammen aus Geburts- 
datum (TTMMJJ), Geschlechtskennzeichen 
(4=m 5=w), 4 stelliger Ursprungskennziffer 
(erste Anmeldung) und einer Prüfziffer. Algo- 
rithmus liegt vor. Datenbank der Ursprungs- 
kennziffer ist derzeit noch in der Erstellung 
(schlecht lesbare Papiervorlage). Die Papiere 
gibt es in Kürze auf ftp://ftp.ccc.de/pub/info- 
pool/mfs/ 

• Einheitenschlüssel (AB;CD;EF) 

Der Einheitenschlüssel besteht aus 3 Gruppen ä 
zwei Nummern, wird aber zusammengezogen 
interpretiert. Er gibt die Einheit des MFS an, bei 
dem der/diejenige gearbeitet hat. Strukturda- 
tenbank ist auf ftp://ftp.ccc.de/pub/infopool/ 
mfs/einheiten.dbf (bzw. .txt, .tab, .fm) 

• Namensfeld (Name, Vorname) 

• Gehalt 

Die genaue Bedeutung des Gehaltsfeldes ist 
umstritten. Einige Behaupten, es handele sich 
hier um das Jahresgehalt. Andere sagen, es sei 
das Gehalt seit Frühjahr 1989. Dritte sagen was 
ganz anderes. Klar ist: die Liste enthält Gehalts- 
zahlen aus denen sich möglicherweise ein Hier- 
archiestatus inter- pretieren lässt. Das kann 
Information oder Desinformation sein. 

Zunächst sind wir also dem Hinweis auf Unre- 
gelmässigkeiten im Bezug auf die Geburtsdaten 
nachgegangen. In der Tat scheint es bei der 
Stasi gewisse Geburtsschwache Tage gegeben 
zu haben; unabhängig vom Geburtsjahr der 
jeweiligen finden sich weder am 17.03., 17.04., 
17.05., 17.06., 17.07., 17.08. irgendwelche 
Einträge. Am 17.02. finden sich zwar 2 Ein- 
träge, allerdings sind beide aus dem Jahrgang 
1927. Bei allem Verständniss für historische 
Aufarbeitung handelt es sich hier offensichtlich 
um Rentner. 
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Alle anderen Geburtstage scheinen in der 
Datenbank sehr gleichmässig verteilt zu sein. 
Bei einer groben Annahme (Sollwert) von 
100.000 Einträgen, geteilt durch die Anzahl 
möglicher Geburtstage (365) wäre der mathe- 
matische Richtwert 273 Geburten pro Tag. In 
Unkenntnis etwaiger Geburtenschwachen 
Tagen bzw. Monaten handelt es sich bei den 
vorliegenden Zahlen entweder um eine 
erstaunlich primitiv frisierte Datenbase oder um 
eine relativ mittelwertgenaue Geburtsanhäu- 
fung. 

Diese beiden Indikatoren (fehlende 17. und 
Mittelwert-Genauigkeit) können insofern nur 
bedingt als Indizen für eine Datenmanipulation 
gewertet werden. Für beide sind "natürliche" 
Erklärungen dankbar. Im Bezug auf die fehlen- 
den Geburten an den 17. kann es sich um 
einen - immerhin 10 Jahr nicht bemerkten - 
Datenverlust bei der Konvertierung von Daten- 
trägern schlechter Qualität handeln. Ein ent- 
sprechender Hinweis auf mögliche 
Datenträgerschäden liegt aus den Kreisen der 
konvertierenden Bürgerbewegten vor, konnte 
allerdings bis Redaktionsschluss noch nicht 
verifiziert werden. Ob der Indikator der 
"gleichmässigen" Verteilung (die Geburten pro 
Tag bewegen sich alle passgenau um den Mit- 
telwert von 273) gewertet werden kann, kann 
ich mangels Hinweisen auf etwaige übliche 
ungleichmässigen Verteilungen nicht feststel- 
len. 

Wesentlich aufschlussreicher und als deutlich- 
ster Hinweis kann da schon der Abgleich der 
vorhandenen Datensätze der Hauptamtlichen 
Mitarbeiter mit dem Einheitenschlüssel gelten. 
Von den 2286 insgesamt vorhandenen Abtei- 
lungen der Staatssicherheit wären beispiels- 
weise 1349 ohne einen einzigen Mitarbeiter. 
Diese Unterbesetzung ist wohl selbst bei groß- 
zügiger Lesart unrealistisch. 



Noch deutlicher wird die Manipulation der HA- 
Datenbank allerdings, wenn man sich die Ein- 
heitenzuweisung im Detail anguckt. Als Beispiel 
für eine etwas detailliertere Analyse sei hier mal 
die Hauptabteilung III (Funkaufklärung) 
genommen. Unter dem "generellen" Einhei- 
tenschlüssel 940300 finden sich immerhin ins- 
gesamt 2312 Mitarbeiter. In den jeweiligen 
Diensteinheiten finden sich allerdings keine 
Mitarbeiter. Eine grobe Hierarchie ließe sich 
zwar aus den Gehaltszahlungen ableiten, aber 
keine Zuweisung zu den Diensteinheiten. 




Diese Strukturverscnieierung tritt bei allen 
Hauptabteilungen auf, in den Bezirksverwal- 
tungen des MfS hingegen ist sie vorhanden. 
Wenn die Strukturverschleierung in der Daten- 
bank eine grundsätzlich vom MfS betriebene 
wäre, würde sie wohl kaum die Bezirksverwal- 
tungen außen vor lassen. Als Beispiel hierfür sei 
willkürlich Leipzig gewählt. 



die datphichlpudpr. 
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Hier allerdings liegen die Unterabteilungen 
offen; lediglich auf der Ebene der Leiter fehlen 
die Hinweise. Und dann gibt es noch Mitarbei- 
ter in Abteilungen, wo nur die Abteilungs- 
schlüssel vorliegen, allerdings nichts über die 
Abteilungen selbst bekannt ist. 

Als Zusammenfassung dieser ersten groben 
Analyse muss man wohl feststellen, daß auf- 
grund dieser deutlichen Indikatoren für eine 
Manipulation der Datenbestände auch die 
anderen Abteilungszuweisungen nicht wirklich 
als verlässliche Werte angenommen werden 
können. In Zusammenhang mit verschiedenen 
Hinweisen auf den Zeitraum, der der Staatssi- 
cherheit für eine Strukturverschleierung bzw. 
partielle Verlagerung von Personalbeständen in 
andere Organisationen (Wirtschaftsunterneh- 
men, staatliche geführte Unternehmungen 
etc.) zur Verfügung stand, könnnte man sich 
schon sorgen machen. Wenn man dann noch 
die Hinweise auf die Übernahme des komplet- 
ten Personalbestands einzelnder Abteilungen 
durch andere Dienste - z.B. amerikanische - 
hinzuzieht, kann man sich wahlweise in 

irF™piniri 



schlechter Laune oder Aufdeckung aktiver 
Strukturen üben. 

Um eine gründlichere Analyse durchzuführen, 
gibt es zunächst verschiedene Gedankenspiele. 
Die meisten Forschungsanträge der Gauck- 
Behörde und verfügbare Literatur über die 
Aktivitäten des MfS betreffen beispielsweise 
eher Thematische als Strukturelle Belange. Eine 
systematische Struktur- analyse wäre also in 
den jeweiligen Bereichen ein möglicher Ansatz. 

Weitere mögliche Herangehensweisen wären 
durch differenzierte Arbeitshypothesen denk- 
bar. Wenn man beispielsweise die offensichtli- 
che Datenmanipulation der Hauptamtlichen 
Liste zusammen mit den Rentenansprüchen 
ehemaliger HA'ler in die These der gewinn- 
trächtigen Einführung von Personen mit meh- 
reren Identitäten umwandelt, gäbe dies Anlass 
zur Überprüfung gewisser Geburtstage. Viel 
Spaß am Gerät. 

Wer noch Material beizusteuern hat, ist herzlich 
eingeladen, dies an die Redaktion Datenschleu- 
der auf elektronischem (ds@ccc.de) oder posta- 
lischem Wege (Postfach 640236, D- 10048 
Berlin) zu tun. 
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SecurEdoc bei TNT: 

Ein kleiner, feiner Hack und ein mittlerer 
Datenschutzskandal 

von Jens Ohlig und Yannick und Yinnick 



Hacken ist manchmal ganz einfach: Es reicht eine dünne Leitung und ein handelsüblicher 
Browser, man braucht weder crack noch portscan. Bei TNT SecureEdoc konnten mit solchen 
Mitteln private Daten anderer betrachtet werden, sofern man denn im Ceheimwissen der 
mathematischen Grundrechenarten bewandert ist. 



TNT SecureEdoc [1 ] ist ein bezahlter Dokumen- 
tenaustauschdienst des international bekann- 
ten Paket- und Logistikservice TNT, 
programmiert wurde diese Anwendung vom 
amerikanischen Softwareunternehmen Cer- 
tia [2]. Mit diesem Angebot will sich TNT offen- 
bar auf dem Markt als Logistikdienstleister 
platzieren, der auch im Online-Bereich den 
Austausch von Dokumenten sicher abwickelt. 
Dabei setzt man auf eine Datenbank, in der die 
ausgetauschten Daten abgelegt werden. Der 
Schlüssel zu den Nachrichten ist die Package- 
ID, die -- wie später erklärt -- einfach auszure- 
chenen ist. Dabei ist der Dienst nicht nur für 
den Austausch zwischen zwei angemeldeten 
Nutzern gedacht, sondern auch mit Usern, die 
keinen Account haben, aber trotzdem eine von 
einem eingetragenen und zahlenden TNT-Kun- 
den Dokumente erhalten sollen. Dazu wird der 
vom Nutzer angegebenen Email-Addresse eine 
Nachricht mit der Package-ID gesendet. Doch 
das an sich schon sträfliche Loch der Abhörbar- 
keit von SMTP- und POP-Verbindungen auf 
dem Weg durch das Netz wird noch übertrof- 
fen von der Vorhersagbarkeit der übermittelten 
Package-ID. 



[1] http://www.tnt-securedoc.com 
[2] http://www.certia.com/ 



Zum Betrachten der Nachricht muß der Emp- 
fänger die URL, die u.a. die Package-ID ent- 
hält, einfach in seinem Browser öffnen. Nach 
dem einfachen Klick erschien sofort die Seite 
mitderauzutauschenden Nachricht. Restriktion 
an der Stelle ist nur, ob diese Nachricht nicht 
nur auf den Status "nur ein mal lesbar" gesetzt 
wurde -- ein ohnehin zweifelhaftes Feature bei 
manch "hängender" Leitung. Die letzten Zif- 
fern der Package-ID sind zweigeteilt: Die erste 
Kolonne bezeichnet den Empfänger und die 
zweite die Dokumenten-Nummer. D.h. durch 
einfaches Subtrahieren von Werten von diesen 
Nummern konnte man die Nachrichten anderer 
Nutzer sehen. 

Dabei war natürlich nicht jede beliebige Kombi- 
nation gültig. Wurden mehrere Dokumente 
gleichzeitig verschickt, wurde die zweite Hälfte 
der Package-ID um die Anzahl der verschickten 
Dokumente verringert, wurde die Nachricht an 
mehrere Empfänger verschickt, wurde wurde 
die erste Hälfte der Package-ID um diese 
Anzahl verringert. Die Anzahl der Dokumente 
und Empfänger konnte man in der angezeigten 
Nachricht erkennen und wußte -- mit wenig 
Kopfrechnen -- sofort, welches die Package-ID 
des vorhergehenden Vorganges war. Weiter 
wäre es möglich gewesen, mit ein wenig Par- 
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sen und Cookie-Verwaltung der HTML-Dateien 
ein Skript ans laufen zu bekommen, daß die 
Zahl der Dokumente und Empfänger jeweils 
ausliest und automatisch Nachricht für Nach- 
richt einliest und verarbeitet. 

Um durch dieses Vorgehen sukzessive die 
anderen Nachrichten zu öffnen brauchte man 
also nur eine Ankernachricht mit Ausgangszah- 
len; glücklicherweise kann man sich zum Testen 
eintragen und somit Nachrichten an einen 
Account schicken, auf den man selber Zugriff 
hat. Da dies ein bezahlter Dienst ist, kommt 
einem auch die Bezahlung per (Online-)Rech- 
nung entgegen, es ist aber in dem Dienst auch 
möglich, die Beträge per Kreditkarte zu bezah- 
len. Und spätestens da wird es richtig unange- 
nehm für die Nutzer: Da der Dienst ja speziell 
für den Austausch sensibler Daten geschaffen 
wurde, liegen auch die Bestätigungen der per- 
sönlichen Daten inklusive der Kreditkartenda- 
ten als Nachrichten im System vor. Bingo! 

Die Kreditkartendaten waren noch das Interes- 
santeste, was in dem System gefunden werden 
konnte. Daneben lagen dort Bilanzen, Unterla- 
gen zur Steuer, Kundentabellen etc. Da dieser 
kostenpflichtige Dienst besonders damit warb, 
vertrauliche Daten auf sicherem Weg auszutau- 
schen, waren die dort vorzufindenden Inhalte 
zum großen Teil solcher Natur. Zum Vergleich: 
Selbst bei unverschlüsselter Email, die leicht 
mitgelesen werden kann, sind die Daten, ein- 
mal beim Empfänger angekommen, nicht mehr 
potentiellen Angreifern ausgesetzt. 

Nachdem in den Kölner Räumlichkeiten des 
CCC diese Schwachstellen ausgelotet wurden, 
haben wir zunächst TNT als Betreiber des Dien- 
stes informiert. Schließlich wurden hier private 
Daten von Benutzern des Systems der Öffent- 
lichkeit zur Verfügung gestellt. Musste ja nicht 
sein. Schwieriger war es, einen Ansprechpart- 
ner zu finden, der einzige erfolgsversprechende 
Anruf erfolgte dann schliesslich beim Presse- 



sprecher der deutschen Niederlassung. Man tat 
eifrig ("Ja, was für ein Computerclub war das 
noch mal?"), aber nach einer Woche gab es 
dann immer noch keine Rückmeldung. Na gut, 
dann war man bei TNT wohl daran interessiert, 
das ganze über dpa zu erfahren. Und so 
geschah es dann auch. Nach der Veröffentli- 
chung der Pressemitteilung wurde der Dienst 
nach weiteren 24 Stunden ausgesetzt. Nach 
einer Woche wird jetzt eine weitere Abfrage 
eines zusätzlichen Authentifizierungs-Tokens 
vorgenommen, bevor die Nachrichten abrufbar 
sind. Die Problematik des Abhorchens der Mail- 
daten löst das aber auch noch nicht. 

Bei TNT ist einem die ganze Sache wohl eher 
peinlich. Hinter vorgehaltener Hand gab ein 
Mitarbeiter von TNT Deutschland zu, dass der 
Service ja auch eher mit der heissen Nadel 
gestrickt worden war: "Ich meine, werbraucht 
so einen Scheiss?" Certia, die weiterhin auf 
ihren Webseiten mit dem zweifelhaften Slogan 
"Bringing trust and control to a digital worid" 
wirbt, hatten in der Zwischenzeit ebenfalls 
Kontakt mit dem CCC aufgenommen. Ja, man 
sei an einem Gespräch interessiert. Der weitere 
Mailverkehr gestaltete sich allerdings als sehr 
schleppend, so dass bis heute kein Termin 
gefunden wurde. Interessant mag die Anschrift 
von Certia sein: Die "Sicherheitsfirma" ist in 
Virgina untergebracht, wo auch die Drei-Buch- 
staben-Organisationen der USA sich heimisch 
fühlen. Gerade in Herndon, wo Certia seinen 
Sitz hat, gibt es wohl auch mehrere Projekte 
von einer Organisation mit einem Namen, der 
dem von Certia verdächtigt ähnelt: Einfach die 
Buchstaben E, R und T wegnehmen. Man kann 
in diesem Zusammenhang paranoid werden, 
muss es aber nicht. Es könnte alles nur ein Bei- 
spiel für besondere Dummheit in der Software- 
entwicklung gewesen sein, über das der CCC 
hier gestolpert ist. Vielleicht lebt es sich mit die- 
ser Theorie angenehmer, wohliger, zufriedener. 
Vertrauen und Kontrolle in einer digitalen Welt. 

w™ir 
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Dummheit - ein grausamer, globaler Gott 

von Constantin Seibt 



Sehen, aber doch passieren völlig unerwartete Dinge. Manchmal verliert Goliath tatsäch- 
lich gegen David. Manchmal tut Dummheit tatsächlich weh. Manchmal ist das Resultat 
eines Justizaktes tatsächlich Gerechtigkeit. 



Die erstaunliche Geschichte begann mit einer 
typischen Freitagsverhaftung. Der Genfer 
Untersuchungsrichter Marc Tappolet stürmte in 
Begleitung von Berner und Genfer Polizisten in 
eine Berner WG, beschlagnahmte die Compu- 
ter und überführte einen zwanzigjährigen 
Informatikspezialisten namens David ins Unter- 
suchungsgefängnis nach Genf. In einem von 
keiner Unschuldsvermutung getrübten Com- 
muniquegab Richter Tappolet bekannt: «Heute 
Morgen ist einer der Täter festgenommen wor- 
den.» 

Dem Verhafteten - angeblich einer der Wef- 
Hacker - wurde Eindringen in ein Datenverar- 
beitungssystem, Sachbeschädigung sowie 
Scheck- und Kreditkartenbetrug vorgeworfen. 
Darauf steht eine Haftstrafe von bis zu fünf 
Jahren. Es ging um einen der spektakulärsten 
Coups in der an Coups nicht armen Hacker- 
Geschichte. Ein Kollektiv namens «Virtual Mon- 
keywrench» hatte den Server des Weltwirt- 
schaftsforums geknackt und der Presse eine CD 
mit E-Mail-Adressen, Passwörtern, Telefon- 
und Kreditkartennummern zugestellt: eine 
gigantische Kartei von 102 000 VIPs, darunter 
Clinton, Arafat und abertausende von Wirt- 
schaftsbossen. Das Wochenende nach der Ver- 
haftung brachte zunächst wenig Neues. Die 
Medien schrieben Kurzmeldungen, die Anti- 
WTO-Koordination verlangte die Freilassung 
des Gefangenen, das Wef schwieg, der Unter- 
suchungsrichter blieb wie vom Erdboden ver- 
schluckt, der Verhaftete schmorte drei Tage im 



Kunstlicht seiner Zelle - der tiefere Sinn jeder 
Freitagsverhaftung. Allerdings ging die Rech- 
nung der Strafverfolger nicht auf: Er schwieg. 

Erst am Montag bekam der Anwalt Jean-Pierre 
Garbade die Akten und den Angeklagten zu 
sehen: «Eine sehr sympathische Person, von 
der ich viel über Informatik gelernt habe.» 
Auch wenn die Gegenseite die Lektionen nöti- 
ger gehabt hätte: Denn die Verhaftung seines 
Mandanten sei «nur durch völlige Unkenntnis 
in Computerdingen» erklärbar - ausser viel- 
leicht aus dem «Wunsch heraus, die Tatsachen 
zusammenzubiegen». (Der Angeklagte - Infor- 
matiker, also offensichtlich hackkompetent und 
überdies politisch bei der anarchistisch orien- 
tierten Gewerkschaftsgruppe FAUCH tätig - 
passte bestens in das Fahndungsbild.) Die mit- 
gelieferten Akten hingegen erwiesen sich als 
einzige Bombe. 1 . Der Experte des Untersu- 
chungsrichters ist selbst der grösste Entla- 
stungszeuge. 2. Seine Aussage ist pures 
Dynamit gegen den Kläger: Er überführt das 
zigmillionenschwere Wef einer geradezu fahr- 
lässigen Amateurhaftigkeit - und das auf des- 
sen Kerngebieten Sicherheit, Diskretion und 
Hightech. Jedenfalls wurde nun zum ersten Mal 
klar, wie der Wef-Hack im Detail lief. 

Das von der «SonntagsZeitung» interviewte 
Hacker-Kollektiv hatte nicht im Mindesten 
untertrieben, als es behauptete, ihre Tat sei im 
Grunde «weder ein Hack, noch ein Crack» 
gewesen, sondern «das Spazieren in einen 
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offenen Hof». Tatsächlich lagen die mit Quick- 
base angelegten Wef-Datenbanken so offen da 
wie möglich. Während in Davos die VIPs mit 
dem grössten Polizeiaufgebot seit dem Welt- 
krieg geschützt wurden, lagerten in Cologny 
ihre Daten so sicher wie ein Nichtschwimmer in 
einem Haifischbecken. Der erste und kleinste 
Fehler war ein Sicherheitsloch in einem, so der 
Genfer Experte, «miserabel konfigurierten 
System». Das Loch trug den Namen Port 1433 
- eines von ein paar tausend Ports, mit dem der 
Server mit der Aussenwelt kommuniziert. 
(Benutzt werden normalerweise nur ein Dut- 
zend - für Netze, Mails etc. - während der Rest 
geschlossen zu sein hat.) Der Zustand der Ports 
lässt sich mit Software aus dem Internet pro- 
blemlos scannen - eine Routinesache von weni- 
gen Minuten, zu der es minimale 
Informatikkenntnisse braucht. Ebenso banale 
Routine ist, bei einem offenen Port herauszu- 
finden, was für ein System sich dahinter ver- 
birgt: Im Falle des Wef war es ein Microsoft- 
Server mit dem Betriebssystem Windows 2000. 

Der Fehler hatte aber für einmal nichts mit 
Microsoft zu tun: DENN SIE ÄNDERTEN DAS 
STANDARD-PASSWORT DER DATENBANK 
NICHT. Jede frisch gelieferte Microsoft-Quick- 
base-Datenbank räumt dem Benutzer beim 
ersten Auf schalten mit dem Benutzernamen 
«sa» und dem Passwort «» (Returntaste) die 
Rechte eines Systemadministrators ein. Dies zu 
ändern, passiert normalerweise am ersten Tag - 
beim Wef passierte es nie. Nun also hatten die 
Hacker den vollen Zugang zum Server des Wef. 
Das wäre peinlich genug gewesen, aber mehr 
Schaden als gelesene E-Mails oder die mit Anti- 
Wef-Parolen übermalten Sites des Forums wäre 
nicht dringelegen. Aber das Wef machte noch 
einen dritten unglaublichen Fehler: Irgendwann 
im Jahr 2000 hatte es weite Teile der vertrauli- 
chen Datenbank VON SEINEM INTERNEN AUF 
DEN WEB-SERVER KOPIERT. (Was ungefähr so 
fahrlässig ist, als würde man den Familien- 



schmuck im draussen montierten Briefkasten 
aufbewahren.) Dass der interne Server und der 
immer gefährdete Web-Server physisch 
getrennt sind, gehört zum kleinen Einmaleins 
jedes Netzwerkadministrators. 

Die von der WoZ befragten Experten zeigten 
sich gleichermassen amüsiert und entsetzt. 
«Suboptimal», urteilte der Datenbankarchitekt 
Alain Starnberger trocken und weigerte sich, 
weitere Äusserungen zitieren zu lassen, weil 
«diese dann beleidigend» wären - klar sei 
jedenfalls, dass die Aussage des Wef-Presse- 
sprechers Charles McLean «Unser IT-Sicher- 
heitsstandard ist auf höchstem Niveau» so 
zutreffend sei wie [zensiert]. Als «unglaublich, 
quasi eine Einladung, als würde man eine 
Luxuslimousine mit steckendem Zündschlüssel 
in einer dunklen Gasse abstellen», beurteilte 
der Pressesprecher Jens Ohlig des Hamburger 
Chaos Computer Clubs den Wef-Sicherheits- 
standard. Die Wef-Hacker hätten durchaus 
«mit etwas krimineller Energie eine fast unbe- 
grenzte Menge Schaden» anrichten können. 
Dass sie den Fall nur per Medien publik mach- 
ten, sei das Minimum an Strafe gewesen. 
Eigentlich müsse das Wef danken: «Es war eine 
kostenlose Überprüfung eines sehr eklatanten 
Sicherheitslochs.» So weit zum glimpflich 
davongekommenen Goliath. Was den verhaf- 
teten David angeht, so stehen seine Chancen 
laut seinem Anwalt bestens. Nachgewiesen 
werden kann ihm nur das Scannen der Ports 
von seinem eigenen Computer aus - eine 
Sache, die so strafbar ist wie das Anklopfen an 
eine Tür. Der Expertenbericht des Untersu- 
chungsrichters hält klar fest, dass im Log-File 
der Wef-Firewalls nur Aufzeichnungen über die 
Scans, aber nichts über das erfolgreiche Ein- 
dringen in Port 1433 existierte. (Eine Firewall, 
die das Klingeln an der Tür registriert, den Ein- 
bruch aber nicht.) 

Kurz: Da Port 1433 monatelang offen stand, 
könnte die halbe Welt Anfang Januar im Wef 
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gewesen sein. Hält Untersuchungsrichter Tap- 
polet nicht noch einen Trumpf im Ärmel, ist 
sein Bluff zu Ende. Klar ist jedenfalls, dass durch 
die Verhaftung von David die wahre Natur 
Goliaths enthüllt wurde: Das hochtechnisierte, 
hochexklusive, hochabgeschottete World Eco- 
nomic Forum, zuständig für die globale Elite 
und die Verbesserung der Welt, wird seinerseits 
von einer global wirkenden Kraft regiert: der 
grenzenlosen Dummheit. [1] 

Offtopic 

A wealthy man decided to go on a safari in 
Africa. He took his faithful pet dog along fi 
Company. One day the dog Starts chasing 
terflies and before long he discovers that he is 
lost. So, wandering about he notices a leopard 
heading rapidly in his direction with the 
obvious intention of having lunch. 

The dog thinks, " ßoyo, l'm in deep doodoo 



leopard with great speed, and figured tha 
something must be up. 



Th 



e monkey soon catches up with the leopard, 
spills the beans and strikes a deal for himself 
with the leopard. The cat is furious at being 
made a fool of and says, " Here monkey, hop 
on my back and see what's going to happ 
that conniving canine. " 

Now the dog sees the leopard Coming with 1 
monkey on his back, and thinks," Whatam I 
going to do now?" But instead of running, the 
dog sits down with his back to his attackers 
retending he hasn't seen them yet. 

And just when they get dose enough to hear, 
the dog says, " Where's that monkey. I just can 
never trust him. I sent him off half an hour ago 
to bring me another leopard, and he's still not 



noticed some bones on the ground dose by, 
and immediately settles down to chew on the 
bones with his back to the approaching cat. 

Just as the leopard is about to leap, the dog 
exclaims loudly, "Man, That was one delicious 
pard. I wonder if there are any more an 
:re?" Hearing this the leopard halts his af 
nid stride, as a look of terror comes ovi 
I slinks away into the trees. 

"Whew", says the leopard." That was d 
That dog nearly had me. " 

Meanwhile, a monkey who had been watching 
the whole scene from a nearby tree, figures he 
; knowledge to good use a 
• protection from the leopard. So, i 
es. But the dog saw him heading after 1 





[1 ] Dieser Artikel erschien ursprünglich in der 
Wochenzeitung Schweiz, 28.02.2001. Besten Dank 
für die Abdruckgenehmigung an den Autor ;-) 
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INTERVIEW 



Virtuelles Datenschutzbüro gegründet 

von Christoph Rothe 



Anfang Dezember entstand das virtuelle Datenschutzbüro. Was es damit auf sich hat frag- 
ten wir Marit Köhntopp vom Datenschutzzemtrum Schleswig-Holstein. 



DS: Was sind die Schwerpunkte des virtuellen 
Datenschutzbüros ? 

MK: Die Schwerpunkte des virtuellen Daten- 
schutzbüros sind: - Ansprechstelle im Internet 
für Datenschutzfragen von Nutzerinnen und 
Nutzern als Service von Datenschutzinstitutio- 
nen aus aller Welt - Informationen rund um 
Datenschutz - Diskussionsforen zu aktuellen 
Datenschutzthemen - Plattform für die Zusam- 
menarbeit mit Datenschützern Die Arbeitsweise 
orientiert sich an der Open-Source-Tradition, 
d.h.: - offene Diskussionen - Entwickeln und 
Bereitstellen frei verfügbarer Privacy-Tools - 
Transparenz der Konzepte - JedeR kann mitma- 
chen. 

Die Ziele: - eine bessere Qualität des Daten- 
schutzes, - durch Arbeitsteilung und Koopera- 
tion effiziente Nutzung aller vorhandenen 
Ressourcen, - Fortschreiben des Stands der 
Technik in Richtung "Privacy-Enhancing Tech- 
nologies ". 

DS: Wer ist bereits an diesem Projekt beteiligt ? 

MT: Die jetzigen Projektpartner finden sich 
unter: http://www.datenschutz.de/partner/ 
Weitere haben ihre Teilnahme angekündigt und 
werden in Kürze hinzustossen. 

DS: Wer kann sich an diesem Projekt beteiligen 
und wodurch ? 

MT: JedeR kann sich beteiligen: - Nutzerinnen 
und Nutzer, indem sie reinschauen, sich infor- 
mieren und mitdiskutieren (insbesondere auf 



Mailinglists) - Expertinnen und Experten, indem 
sie ihre Beiträge einbringen und mitdiskutieren 
- Datenschutzinstitutionen, indem sie Projekt- 
partner werden und mit anderen Partnern 
kooperieren 

DS: Wie ist das virtuelle Datenschutzbüro ent- 
standen ? 

MT: Die Idee zu dem Projekt hatte 1999 der 
Landesbeauftragte für den Datenschutz Schles- 
wig-Holstein (jetzt: Unabhängiges Landeszen- 
trum für Datenschutz Schleswig-Holstein). 
Nach einem Jahr Vorlauf hatten sich die jetzi- 
gen Projektpartner zusammengefunden und 
die Zielsetzungen ausdiskutiert. 

Die Realisierung lag und liegt hauptsächlich 
beim ULD SH, das auch die Server betreibt und 
für die nächsten 2 Jahre die Geschäftsführung 
des virtuellen Datenschutzbüros innehat. 

Die Domain datenschutz.de gibt es schon län- 
ger als Service für alle Nutzerinnen und Nutzer, 
die nach Datenschutzinstitutionen suchen. Sie 
wurde vom Berliner Datenschutzbeauftragten 
betrieben, der selbst Projektpartner ist und sie 
freundlicherweise für das virtuelle Datenschutz- 
büro zur Verfügung gestellt hat. 

Zukunft 

Geplant ist ein weiterer Ausbau des virtuellen 
Datenschutzbüros, d.h. neben einer inhaltli- 
chen Vervollständigung z.B. Einrichtung einer 
Projektbörse oder interessanter Expertenforen. 
Das virtuelle Datenschutzbüro ist unter [1] zu 
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erreichen. Der Berliner Datenschutzbeauf- 
tragte - vorheriger Besitzer dieser Doamin - ist 
nun unterwww.datenschutz-berlin.de erreich- 
bar. Übrigens ist dies ein Aufruf: Vielleicht hat 
ja der ein oder andere aus dem CCC ebenfalls 
Lust, sich als Partner an diesem Projekt zu 
beteiligen ? Bei Interesse meldet Euch doch 
bitte bei [1] (nur Koordination, wg. zeitl. Ein- 
schränkungen) 



srney, 
luntant. 
yhere's 
from 



ask 
ney 



Offtopic 

The Godfather, accompanied by his attorney, 
walks into a room to meet with his accoun 
dfather asks the accountant, "Wh 
iree million bucks you embezzled fron 
me?" The accountant doesn't answer. The 
Godfather asks again, "Where's the three mil- 
lion bucks you embezzled from me?" The 
attorney interrupts, "Sir, the man is a deaf- 
mute and cannot understand you, but I can 
interpret for you. " The Godfather says, "Well, 
sk him where the @#l* money is." The attor- 
ey, using sign language, asks the accountant 
where the three million dollars is. The 
accountant signs back, "I don't know what 
you're talking about." The attorney interprets 
to the Godfather, "He doesn't know what 
you're talking about." The Godfather pulls out 
a pistol, puts it to the temple of the accountant, 
cocks the trigger and says, "Ask him again 
where the @#!* money is! " The attorney signs 
to the accountant, " He wants to know where it 
is!" The accountant signs back, "Okay! Okay! 
The money's hidden in a suitcase behind the 
shed in my backyard! " The Godfather says, 
"Well, what did he say?" The attorney inter- 
prets to the Godfather, " He says that ) 
have the guts to pull the trigger. ' 



tyou ( 



[1] http://www.datenschutz.de 
[1] mailto:redbaron@ccc.de 
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CIA MANUAL - A STUDY OF ASSASSINATION 



Der "Freedom of Information Act" fördert so einiges aus den Archiven der US-Geheimdien- 
ste zutage. Unter anderem auch diese Kopie einer Anleitung der CIA für potentielle Attentä- 
ter. Der Artikel ist weniger interessant aufgrund der darin beschriebenen Techniken, 
sondern eher wegen der dahintersteckenden Ceisteshaltung dieser Behörde. 



Definition 

Assassination is a term thought to be derived 
from " Hashish " , a drug similar to marijuana, 
said to have been used by Hasan-Dan-Sabah to 
induce motivation in his followers, who were 
assigned to carry out political and other mur- 
ders, usually at the cost of their lives. It is here 
used to describe the planned killing of a person 
who is not under the legal Jurisdiction of the 
killer, who is not physically in the hands of the 
killer, who has been selected by a resistance 
Organization for death, and who has been sele 
cted by a resistance Organization for death, and 
whose death provides positive advantages to 
that Organization. 

Employment 

Assassination is an extreme measure not nor- 
mally used in clandestine Operations. It should 
be assumed that it will never be ordered or 
authorized by any U.S. Headquarters, though 
the latter may in rare instances agree to its exe- 
cution by membe rs of an associated foreign 
Service. This reticence is partly due to the 
necessity for committing Communications to 
paper. No assassination Instructions should ever 
be written or recorded. Consequently, the deci- 
sion to employ this technique must nearly 
always be reached in the field, at the area 
where the act will take place. Decision and 
Instructions should be confined to an absolute 
minimum of persons. Ideally, only one person 



will be involved. No report may be made, but 
usually the act will be pr operly covered by nor- 
mal news Services, whose Output is available to 
all concerned. 

lustification 

Murder is not morally justifiable. Self-defense 
may be argued if the victim has knowledge 
which may destroy the resistance Organization 
if divulged. Assassination of persons responsi- 
ble for atrocities or reprisals may be regarded as 
just puni shment. Killing a political leader 
whose burgeoning career is a clear and present 
danger to the cause of f reedom may be held 
necessary. 

But assassination can seldom be employed with 
a clear conscience. Persons who are morally 
squeamish should not attempt it. 

Classifications 

The techniques employed will vary according to 
whether the subject is unaware of his danger, 
aware but unguarded, or guarded. They will 
also be affected by whether or not the assassin 
is to be killed with the subject hereafter, assas- 
sinations in which the subject is unaware will be 
termed "simple"; those where the subject is 
aware but unguarded will be termed "chase"; 
those where the victim is guarded will be ter- 
med "guarded." If the assassin is to die with 
the subject, the act will be called "lost." If the 
assassin is to escape, the adjective will be 

WSW 
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"safe." It should be noted that no compromi- 
ses should exist here. 

The assassin must not fall alive into enemy 
hands. A further type division is caused by the 
need to conceal the fact that the subject was 
actually the victim of assassination, rather than 
an accident or natural causes. If such con- 
cealment is desirable the Operation will be cal- 
led "secret" ;; if concealment is immaterial, the 
act will be called " open " ; while if the assassina- 
tion requires publicity to be effective it will be 
termed "terroristic." Following these definiti- 
ons, the assassination of Julius Caesar was safe, 
simple, and terroristic, while that of Huey Long 
was lost, guarded and open. Obviously, suc- 
cessful secret assassinations are not recorded as 
assassination at all. [Illegible] o f Thailand and 
Augustus Caesar may have been the victims of 
safe, guarded and secret assassination. Chase 
assassinations usually involve clandestine 
agents or members of criminal organizations. 
THE ASSASSIN In safe assassinations, the assas- 
sin needs the usual qualities of a clandestine 
agent. He should be determined, courageous, 
intelligent, resourceful, and physically active. 

If special equipment is to be used, such as fire- 
arms or drugs, it is clear that he must have out- 
standing skill with such equipment. Except in 
terroristic assassinations, it is desirable that the 
assassin be transient in the area. He should 
have an absolute minimum of contact with the 
rest of the Organization and his Instructions 
should be given orally by one person only. His 
safe evacuation after the act is absolutely 
essential, but here again contact should be as 
limited as possible. It is preferable that the per- 
son issuing Instructions also conduct any with- 
drawal or covering action which may be 
necessary. In lost assassination, the assassin 
must be a fanatic of some sort. Politics, religion, 
and revenge are about the only feasible moti- 
ves. Since a fanatic is unstable psychologically, 
he must be handled with extreme care. He 



must not know the iden tities of the other 
members of the Organization, for although it is 
intended that he die in the act, something may 
go wrong. While the Assassin of Trotsky has 
never revealed any significant information, it 
was unsound to depend on this when the act 
was p lanned. 

Planning 

When the decision to assassinate has been rea- 
ched, the tactics of the Operation must be plan- 
ned, based upon an estimate of the Situation 
similar to that used in military Operations. The 
preliminary estimate will reveal gaps in infor- 
mation and possibly indicate a need for special 
equipment which must be procured or con- 
structed. When all necessary data has been col- 
lected, an effective tactical plan can be 
prepared. All planning must be mental; no 
papers should ever contain evidence of the 
oper ation. In resistance situations, assassina- 
tion may be used as a counter-reprisal. Since 
this requires advertising to be effective, the 
resistance Organization must be in a position to 
warn high off icials publicly that their lives will 
be the price of rep risal action against innocent 
people. Such a threat is of no value unless it 
can be carried out, so it may be necessary to 
plan the assassination of various responsible 
officers of the oppressive regime and hold such 
plans in readiness to be used only i f provoked 
by excessive brutality. Such plans must be 
modified frequently to meet changes in the 
tactical Situation. 

Techniques 

The essential point of assassination is the death 
of the subject. A human being may be killed in 
many ways but sureness is offen overlooked by 
those who may be emotionally unstrung by the 
seriousness of this act they intend to commit. 
The spe cific technique employed will depend 
upon a large number of variables, but should 
be constant in one point: Death must be abso- 
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lutely certain. The attempt on Hitler's life failed 
because the conspiracy did not give this matter 
proper attention. Techniques may be conside- 
red as follows: 

1 . Manual. It is possible to kill a man with the 
bare hands, but very few are skillful enough to 
do it well. Even a highly trained Judo expert will 
hesitate to risk killing by hand unless he has 
absolutely no alternative. However, the sim- 
plest local tools a re often much the most 
efficient means of assassination. A hammer, 
axe, wrench, screw driver, fire poker, kitchen 
knife, lamp stand, or anything hard, heavy and 
handy will suffice. A length of rope or wire or a 
belt will do if the assassin is strong and agile. All 
such improvised weapons have the important 
advantage of availability and apparent inno- 
cence. The obviously lethal machine gun failed 
to kill Trotsky where an item of sporting goods 
succeeded. In all safe cases where the assassin 
may be subject to search, either before or after 
the act, specialized weapons should not be 
used. Even in the lost case, the assassin may 
accidentally be searched before the act and 
should not carry an incrimin ating device if any 
sort of lethal weapon can be improvised at or 
near the site. If the assassin normally carries 
weapons because of the nature of his job, it 
may still be desirable to improvise and imple- 
ment at the scene to avoid disclosure of his 
identity. 

2. Accidents. For secret assassination, either 
simple or chase, the contrived accident is the 
most effective technique. When successfully 
executed, it causes little excitement and is only 
casually investigated. The most efficient acci- 
dent, in simple assassination, is a fall of 75 feet 
or more onto a hard surface. Elevator shafts, 
stair wells, unscreened Windows and bridges 
will serve. Bridge falls into water are not relia- 
ble. In simple cases a private meeting with the 
subject may be arranged at a properly-cased 
location. The act may be executed by sudden, 
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vigorous [excised] of the ankles, tipping the 
subject over the edge. If the assassin immedia- 
tely sets up an outcry, playing the " horrif ied wit 
ness", no alibi or surreptitious withdrawal is 
necessary. In chase cases it will usually be 
necessary to stun or drug the subject before 
dropping him. Care is required to insure that no 
wound or condition not attributable to the fall 
is discernible after death. Falls into the sea or 
swiftly flowing rivers may suffice if the subject 
cannot swim. It will be more reliable if the 
assassin can arrange to attempt rescue, as he 
can thus be sure of the subject's death and at 
the same time establish a workable al ibi. If the 
subject's personal habits make it feasible, alco- 
hol may be used [2 words excised] to prepare 
him for a contrived accident of any kind. Falls 
before trains or subway cars are usually effec- 
tive, but require exact timing and can seldom 
be free from unexpected Observation. Automo- 
bile accidents are a less satisfactory means of 
assassination. 

If the subject is deliberately run down, very 
exact timing is necessary and investigation is 
likely to be thorough. If the subject's car is tam- 
pered with, reliability is very lo w. The subject 
may be stunned or drugged and then placed in 
the car, but this is only reliable when the car 
can be run off a high cliff or into deep water 
without Observation. Arson can cause acciden- 
tal death if the subject is drugged and left in a 
burning building. Reliability is not satisfactory 
unless the building is isolated and highly com- 
bustible. 

3. Drugs. In all types of assassination except 
terroristic, drugs can be very effective. If the 
assassin is trained as a doctor or nurse and the 
subject is under medical care, this is an easy 
and rare method. An overdose of morphine 
administered as a sedat ive will cause death 
without disturbance and is difficult to detect. 
The size of the dose will depend upon whether 
the subject has been using narcotics regularly. 

WSW 
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If not, two grains will suffice. If the subject 
drinks heavily, morphine or a similar narcotic 
can be injected at the passing out stage, and 
the cause of death will often be held to be 
acute alcoholism. Specific poisons, such as arse- 
nic or strychine, are effective but their posses- 
sion or procurement is incriminating, and 
accurate dosage is problematical. Poison was 
used unsuccessfully in the assassination of Ras- 
putin and Kolohan, though the latte r case is 
more accurately described as a murder. 

4. Edge Weapons Any locally obtained edge 
device may be successfully employed. A certain 
minimum of anatomical knowledge is needed 
for reliability. Puncture wounds of the body 
cavity may not be reliable unless the heart is 
reached. The heart is protected by the rib cage 
and is not always easy to locate. Abdominal 
wounds were once nearly always mortal, but 
modern medical treatment has made this no 
longer true. Absolute reliability is obtained by 
severing the spinal cord in the cervical region. 
This can be done with the point of a knife or a 
light blow of an axe or hatchet. Another relia- 
ble method is the severing of both jugular and 
carotid blood vessels on both sides of the wind- 
pipe. If the subject has been rendered 
unconscious by other wounds or drugs, either 
of the above methods can be used to insure 
death. 

5. Blunt Weapons As with edge weapons, blunt 
weapons require some anatomical knowledge 
for effective use. Their main advantage is their 
universal availability. A hammer may be picked 
up almost anywhere in the world. Baseball and 
[illegible] bats are very widely dist ributed. Even 
a rock or a heavy stick will do, and nothing 
resembling a weapon need be procured, carried 
or subsequently disposed of. Blows should be 
directed to the temple, the area just below and 
behind the ear, and the lower, rear portion of 
the skull. Of course, if the blow is very heavy, 
any portion of the upper skull will do. The 



lower frontal portion of the head, from th e 
eyes to the throat, can withstand enormous 
blows without fatal consequences. 

6. Firearms Firearms are often used in assassi- 
nation, often very ineffectively. The assassin 
usually has insufficient technical knowledge of 
the limitations of weapons, and expects more 
ränge, accuracy and killing power than can be 
provided with reliability. Since certainty of 
death is the major requirement, firearms should 
be used which can provide destructive power 
at least 100% in excess of that thought to be 
necessary, and ranges should be half that consi- 
dered practical for the weapon. Firearms have 
other drawbacks. Their possession is often 
incriminating. They may be difficult to obtain. 
They require a degree of experience from the 
user. They are [illegible]. Their [illegible] is con- 
sistently over-rated. 

However, there are many cases in which fire- 
arms are probably more efficient than any 
other means. These cases usually involve 
distance between the assassin and the subject, 
or comparative physical weakness of the assas- 
sin, as with a woman. (a) The precision rifle. In 
guarded assassination, a good hunting or tar- 
get rifle should always be considered as a possi- 
bility. Absolute reliability can nearly always be 
achieved at a distance of one hundred yards. In 
ideal circumstances, t he ränge may be exten- 
ded to 250 yards. The rifle should be a well 
made bolt or falling block action type, handling 
a powerful long-range cartridge. The .300 
F.A.B. Magnum is probably the best cartridge 
readily available. Other excellent calibers are . 
375 M. [illegible]. Magnum, .270 Winchester, 
.30 - 106 p.s., 8 x 60 MM Magnum, 9.3 x 62 
kk and others of this type. 

These are preferable to ordinary military cali- 
bers, since ammunition available for them is 
usually of the expanding bullet type, whereas 
most ammunition for military rifles is füll jacke- 
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ted and hence not sufficiently let hal. Military 
ammunition should not be altered by filing or 
drilling bullets, as this will adversely affect accu- 
racy. The rifle may be of the "bull gun" variety, 
with extra heavy barrel and set triggers, but in 
any case should be capable of maximum preci- 
sion. Ideally, the weapon should be able to 
group in one inch at one hundred yards, but 
21/2" groups are adequa te. The sight should 
be telescopic, not only for accuracy, but 
because such a sight is much better in dim light 
or near darkness. 

As long as the bare outline of the target is 
discernable, a telescope sight will work, even if 
the rifle and shooter are in total darkness. An 
expanding, hunting bullet of such calibers as 
described above will produce extravagant lace- 
ration and shock at short or mid-range. If a 
man is Struck just once in the body cavity, his 
death is almost entirely certain. Public figures or 
guarded officials may be killed with great relia- 
bility and some safety if a firing point can be 
established prior to an official occasion. The 
Propaganda value of this System may be very 
high. 

(b) The machine gun. Machine guns may be 
used in most cases where the precision rifle is 
applicable. Usually, this will require the Subver- 
sion of a unit of an official guard at a ceremony, 
though a skillful and determined team might 
conceivably dispose of a loyal gun crow wit- 
hout commotion and take over the gun at the 
critical time. The area fire capacity of the 
machine gun should not be used to search out 
a concealed subject. This was tried with predic- 
table lack of success on Trotsky. The automatic 
feature of the machine gun should rather be 
used to increase reliability by placing a 5 
second burst on the subject. Even with füll jak- 
ket ammunition, this will be absolute lethal is 
the burst pattern is no largerthan a man. This 
can be accomplished at about 150 yards. In 
ideal circumstances, a properly padded and tar- 
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geted ma chine gun can do it at 850 yards. The 
major difficulty is placing the first burst exactly 
on the target, as most machine gunners are 
trained to spot their fire on target by Observa- 
tion of strike. This will not do in assassination as 
the subject will not wait. 

(c) The Submachine Gun. This weapon, known 
as the "machine-pistol" bythe Russians and 
Germansand "machine-carbine" by the British, 
is occasionally useful in assassination. Unlike 
the rifle and machine gun, this is a short ränge 
weapon and since it fires pistol ammu nition, 
much less powerful. To be reliable, it should 
deliver at least 5 rounds into the subject's 
ehest, though the .45 caliber U.S. weapons 
have a much larger margin of killing efficiency 
than the 9 mm European arms. The assassina- 
tion ränge of the sub-machine gun is point 
blank. While accurate Single rounds can be 
delivered by sub-machine gunners at 50 yards 
or more, this is not certain enough for assassi- 
nation. Under ordinary circumstances, the 5MG 
should be used as afully automatic weapon. In 
the hands of a capabl e gunner, a high cyclic 
rate is a distinet advantage, as speed of execut- 
ion is most desirable, particularly in the case of 
multiple subjects. 

The sub-machine gun is especially adapted to 
indoor work when more than one subject is to 
be assassinated. An effective technique has 
been devised for the use of a pair of sub- 
machine gunners, by which a room containing 
as many as a dozen subjects can be "purifico" 
in about twenty seconds with little or no risk to 
the gunners. It is illustrated below. While the 
U.S. sub-machine guns fire the most lethal 
cartridges, the higher cyclic rate of some for- 
eign weapons enable the gunner to cover a tar- 
get quicker with acceptable pattern density. 
The Bergmann Model 1934 is particularly good 
in this way. The Danish Madman? SMG has a 
moderately good cyclic rate and is admirably 
compact and concealable. The Russian SHG's 
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have a good cyclic rate, but are handicapped 
by a small, light protective which requires more 
kits for equivalent killing effect. 

(d) The Shotgun. A large bore shotgun is a 
most effective killing instrument as long as the 
ränge is kept under ten yards. It should nor- 
mally be used only on Single targets as it cannot 
sustain fire successfully. The barrel may be 
"sawed" off for convenience, but this is not a 
significant factor in its killi ng Performance. Its 
Optimum ränge is just out of reach of the sub- 
ject. 00 buckshot is considered the best shot 
size for a twelve gage gun, but anything from 
Single balls to bird shot will do if the ränge is 
right. The assassin should aim for the solar ple- 
xus as the shot pattern is small at dose ränge 
and can easily [illegible] the head. 

(e) The Pistol. While the handgun is quite inef- 
ficient as a weapon of assassination, it is offen 
used, partly because it is readily available and 
can be concealed on the person, and partly 
because its limitations are not widely apprecia- 
ted. While many well kn own assassinations 
have been carried out with pistols (Lincoln, 
Harding, Ghandi), such attempts fail as offen as 
they succeed, (Truman, Roosevelt, Churchill). 

If a pistol is used, it should be as powerful as 
possible and fired from just beyond reach. The 
pistol and the shotgun are used in similar tacti- 
cal situations, except that the shotgun is much 
more lethal and the pistol is much more easily 
conceale d. In the hands of an expert, a power- 
ful pistol is quite deadly, but such experts are 
rare and not usually available for assassination 
missions. 

.45 Colt, .44 Special, .455 Kly, .45 A.S. [illegible] 
(U.S. Service) and .357 Magnum are all 
efficient calibers. Less powerful rounds can suf- 
fice but are less reliable. Sub-power cartridges 
such as the .32s and .25s should be avoided. In 
all cases, the subject should be hit solidly at 
least three times for complete reliability. 



(f) Silent Firearms The sound of the explosion 
of the proponent in a firearm can be effectively 
silenced by appropriate attachments. However, 
the sound of the projective passing through the 
air cannot, since this sound is generated out- 
side the weapon. In cases w here the velocity 
of the bullet greatly exceeds that of sound, the 
noise so generated is much louder than that of 
the explosion. Since all powerful rifles have 
muzzle velocities of over 2000 feet per second, 
they cannot be silenced. Pistol bullets, on the 
other hand, usually travel slower than sound 
and the sound of their flight is negligible. The- 
refore, pistols, submachine guns and any sort 
of improvised carbine or rifle which will take a 
low velocity cartridge can be silenc ed. 

The user should not forget that the sound of 
the Operation of a repeating action is consi- 
derable, and that the sound of bullet strike, 
particularly in bone is quite loud. Silent firearms 
are only occasionally useful to the assassin, 
though they have been widely publicized in this 
connection. Because permissible velocity is low, 
effective precision ränge is held to about 100 
yards with rifle or carbine type weapons, while 
with pistols, silent or otherwise, are most 
efficient just beyond arms length. The silent 
feature attempts to provide a degree of safety 
to the assassin, but mere possession of a silent 
firearm is likely to create enough hazard to 
counter the advantage of its silence. The silent 
pisto I combines the disadvantages of any pistol 
with the added one of its obviously clandestine 
purpose. A telescopically sighted, closed-action 
carbine shooting a low velocity bullet of great 
weight, and built for accuracy, could be very 
useful to an assassin in certain situations. Atthe 
time of writing, no such weapon is known to 
exist. 

7. Explosives. Bombs and demolition charges of 
various sorts have been used frequently in 
assassination. Such devices, in terroristic and 
open assassination, can provide safety and 
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overcome guard barriers, but it is curious that 
bombs have often been the imp lement of lost 
assassinations. The major factor which affects 
reliability is the use of explosives for assassina- 
tion. the Charge must be very large and the 
detonation must be controlled exactly as to 
time by the assassin who can observe the sub- 
ject. A small or moderate explosi ve Charge is 
highly unreliable as a cause of death, and time 
delay or booby-trap devices are extremely 
prone to kill the wrong man. In addition to the 
moral aspects of indiscriminate killing, the 
death of casual bystanders can often produce 
public reacti ons unfavorable to the cause for 
which the assassination is carried out. 

Bombs or grenades should never be thrown at 
a subject. While this will always cause a com- 
motion and may even result in the subject's 
death, it is sloppy, unreliable, and bad Propa- 
ganda. The Charge must be too small and the 
assassin is never sure of: (1) reaching his attack 
Position, (2) placing the Charge dose en ough 
to the target and (3) firing the Charge at the 
right time. Placing the Charge surreptitiously in 
advance permits a Charge of proper size to be 
employed, but requires accurate prediction of 
the subject's movements. Ten pounds of high 
explosive should normally be regarded as a 
minimum, and this is explosive of fragmenta- 
tion material. The latter can consist of any hard, 
[illegible] material as long as the fragments are 
large enough. Metal or rock fragments should 
be walnut-size rather than pen-size. If solid pla- 
tes are used, to be ruptured by the explosion, 
cast iron, 1 " thick, gives excellent fragmenta- 
tion. Military or commercial high explosives are 
practical for use in assassination. 

Homemade or improvised e xplosives should be 
avoided. While possibly powerful, they tend to 
be dangerous and unreliable. Anti-personnel 
explosive missiles are excellent, provided the 
assassin has sufficient technical knowledge to 
fuse them properly. 81 or 82 mm mortar Shells, 



or the 120 mm mortar shell, are particularly 
good. Anti-personnel Shells for 85, 88, 90, 100 
and 105 mm guns and howitzers are both large 
enough to be completely reliable and small 
enough to be carried by one man. The Charge 
should be so placed that the subject is not ever 
six feet from it at the moment of detonation. A 
large, shaped Charge with the [illegible] filled 
with iron fragments (such as 1 " nuts and bolts) 
will fire a highly lethal shotgun-type [illegible] 
to 50 yards. This reaction has not been thorou- 
ghly tested, however, and an exact replica of 
the proposed device should be fired in advance 
to determine exact ränge, pattern-size, and 
penetration of fragments. 

Fragments should penetrate at lea st 1 " of sea- 
soned pine or equivalent for minimum reliabi- 
lity. Any firing device may be used which 
permits exact control by the assassin. An ordi- 
nary commercial or military explorer is efficient, 
as long as it is rigged for instantaneous action 
with no time fuse in the System. The wise [ille- 
gible] electric target can serve as the triggering 
device and provide exact timing from as far 
away as the assassin can reliably hit the target. 
This will avid the disadvantages olitary or com- 
mercial high explosives are practical for use in 
assassination. Homemade or improvised explo- 
sives should be avoided. While possibly power- 
ful, they tend to be dangerous and unreliable. 
Anti-personnel explosive missiles are excellent, 
provided the assassin has sufficient technical 
knowledge to fuse them properly. 81 or 82 mm 
mortar Shells, or the 120 mm mortar shell, are 
particularly good. Anti-personnel Shells for 85, 
88, 90, 100 and 105 mm guns and howitzers 
are both large enough to be completely reliable 
and small enough to be carried by one man. 
The Charge should be so placed that the subject 
is not ever six feet from it at the moment of 
detonation. A large, shaped Charge with the 
[illegible] filled with iron fragments (such as 1 " 
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nuts and bolts) will fire a highly lethal shotgun- 
type [illegible] to 50 yards. 

This reaction has not been thoroughly tested, 
however, and an exact replica of the proposed 
device should be fired in advance to determine 
exact ränge, pattern-size, and penetration of 
fragments. Fragments should penetrate at least 
1 " of seasoned pine or equivalent for minimum 
reliability. Any firing device may be used which 
permits exact control by the assassin. An ordi- 
nary commercial or military explorer is efficient, 
as long as it is rigged for instantaneous action 
with no time fuse in the System. The wise [ille- 
gible] electric target can serve as the triggering 
device and provide exact timing from as far 
away as the assassin can reliably hit the target. 
This will avid the disadvantages of stringing 
wire between the proposed positions of the ass 
assin and the subject, and also permit the 
assassin to fire the Charge from a variety of 
possible positions. The radio switch can be [ille- 
gible] to fire [illegible], though its reliability is 
somewhat lower and its procurement may not 
be easy. EXAMPLES ([illegible] may be presen- 
ted brief outlines, with critical evaluations of 
the following assassinations and attempts: 
Marat Hedrich tincoln Hitler Harding Roosevelt 
Grand Duke Sergei Truman Pirhivie Mussolini 
Archduke Francis Ferdinand Benes Rasputin 
Aung Sang Madero [illegible] Kirov Abdullah 
Huey Long Ghandi Alexander of Yugoslvia 
Trotsky http://www.bobharris.com/cooldocs/ 
ciamanual.html. 



In accordance with Title 17 U.S. C. section 107, 
this matehal is disthbuted without Charge or 
pro fit to those who have expressed a prior 
internst in receiving this type of Information for 
non-profit research and educational purposes 
only. 

Join the "stop police abuse" list at [1] People 
Against Racist Terror (PART), PO Box 1055, 
Culver City, CA 90232 Tel.: 310-495-0299 E- 
mail: [2] < URL : [3] Send for a sample of our 
quarterly print publication: "Turning The Tide: 
Journal of Anti-Racist Action, Research & Edu- 
cation " 



[1] %://www. egroups.com/group/stop-pola- 
buse 

[2] ma//to.part2001 ©usa.net 
[3;/7ftp.-//www.antiracist.org/issues.html 



dip datpnschlpudpr. 




#074 / Frühjahrsimulation 2001 



DER USER, DAS UNBEKANNTE WESEN 



Machtstrukturen und Zensur im Internet 

von Dragati Espenschied und Alvar Freude 



Im Rahmen unserer Diplom-Arbeit, deren Thema Machstrukturen im Internet ist, haben wir 
an unserer Hochschule ein recht aufwändiges Experiment zum Thema Zensur und Manipu- 
lation von Internet-Sites durchgeführt. An Kommentaren und Anregungen wären wir sehr 
interessiert. 



Kurz zum Hintergrund der Hochschule: Die 
Merz Akademie bildet Kommunikations-Desi- 
gner aus. Im Gegensatz zum reinen Grafikde- 
sign wird an der Akademie besonderen Wert 
auf kulturtheoretische Zusammenhänge und 
kritischem Umgang mit Medien gelegt. Theorie 
und Forschung nehmen über die Hälfte der 
Vorlesungen ein. Seit dreieinhalb Jahren ist das 
Gebäude komplett vernetzt, jeder Rechner bie- 
tet Zugang zum Internet. Das Angebot wird 
stark genutzt; Kurse zum Thema sind überbe- 
legt. 

Unser Experiment befasst sich mit der hierarchi- 
schen Struktur des Internets und der dadurch 
möglichen Manipulation von Inhalten: Wir 
setzten einen selbstentwickelten Proxy-Server 
auf und stellten ganz simpel an jedem uns 
zugänglichen Rechner diesen Proxy für HTTP- 
Zugriffe in den Browsern ein. Nun fließt also 
der gesamte (nur unverschlüsselte) Web-Traffic 
durch diesen Proxy, der darauf ausgelegt ist, 
die Anfragen nicht nur in einer Datenbank 
anonym zu protokollieren, sondern auch die 
zurückkommenden HTML-Seiten vordem 
Weiterreichen an den anfragenden Browser zu 
manipulieren. Die Surfer bemerken dabei 
nichts, alle URLs bleiben erhalten, jedoch kann 
von einzelnen Worten bis zu kompletten Sites 
alles verändert oder vollständig ausgetauscht 
und neue Domains eingeführt werden. Nie- 
mand außer unserer Dozentin (Prof. Olia 
Lialina) wusste von dem Projekt. 



Natürlich legen wir Wert darauf, keine perso- 
nenbezogenen Daten etc zu speichern. Mit 
dem Experiment wollen wir herausfinden mit 
welchem Aufwand eine solche zentrale Zensur- 
software verbunden ist, welche Reaktionen die 
Manipulationen hervorrufen, wie unsere 
unfreiwilligen Versuchspersonen mit dem Web 
umgehen und welches Bild sie vom Medium im 
allgemeinen haben. 

Vorausgreifend: Die durchgeführten Manipula- 
tionen halten wir für verhältnismäßig brisant. 
Die Reaktionen der "Testpersonen" auf die 
Manipulationen und erst recht der Bekannt- 
gabe derselben in einer Mail an alle mit dem 
Betreff "Internet-Manipulation an der Merz- 
Akademie - Hintergründe und wie man es 
abschalten kann", blieben zu unserer Überra- 
schung nahezu vollkommen aus. Für uns 
drängt sich der Eindruck auf, dass Desinteresse 
und Hilflosigkeit vorherrschen. 

u.a. die folgenden Manipulationen nehmen wir 
vor: 

• Die Namen von Gerhard Schröder und Hel- 
mut Kohl werden vertauscht. Dies geschieht 
auch, wenn nur der Familienname genannt 
wird. Laut allen Nachrichten- und Magazin- 
Sites veröffentlicht nun also Gerhard Schröder 
sein Tagebuch und Gerhard Schröder wurde in 
Spendenaffären verwickelt. - Das hört sich viel- 
leicht ein wenig simpel an, jedoch funktioniert 
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die Sinnverdrehung in den allermeisten Fällen 
perfekt. Selbst wenn unter einem Foto, auf 
dem Kohl ein wenig angeschlagen guckt, steht, 
Gerhard Schröder würde ein Tagebuch veröf- 
fentlichen, gibt es wieder eine passende Bedeu- 
tung. http://online-demonstration.org/ 
insert_coin/proxy-bilder/kohl-tagebuch.gif 

• Der Name von AI Gore wurde gegen AI 
Bundy ausgetauscht. 

• Die Worte "und", "oder" und "aber" wur- 
den mit einer gewissen Wahrscheinlichkeit aus- 
getauscht. Dieser simple Trick kann den Inhalt 
eines Textes komplett verdrehen. 

In den vier an der Akademie beliebtesten Fre- 
email-Diensten (GMX, hotmail, mail.com und 
Yahoo!) fügten wir die frei erfundene "Global 
Penpals Association" ein: In einem nicht über- 
sehbaren großen Kasten, von Farbigkeit und 
Layout an die entsprechenden Services ange- 
passt, wird ein "Brieffreund" mit Foto und kur- 
zer Beschreibung vorgestellt. Über einen Button 
kann dieser Person sofort eine Nachricht aus 
dem Freemailer geschickt werden. Im Kasten 
steht außerdem der Hinweis, dass diese Person 
"für Sie aufgrund Ihrer persönlichen Einstellun- 
gen und Ihres Surfverhaltens" ausgesucht 
wurde. Wir haben acht Personen bei verschie- 
denen Freemail-Diensten erfunden, die zufällig 
angezeigt werden und sich recht schnell wie- 
derholen. Wir stellten außerdem eine einfache 
Feedback-Möglichkeit durch ein Formular 
bereit, angeblich an die Initiatoren der Global 
Penpals Association. 

Weiterhin haben wir die sieben meistbenutzten 
Suchmaschinen so verändert, dass jede dort 
gefundene Seite ein Formular von "netzgegen- 
rechts.yahoo.de" enthält, in dem man die 
Möglichkeit hat, die gefundene Seite anonym 
als pornografisch, rassistisch, gotteslästerlich, 
kinderpornografisch, geschäftsschädigent, 
urheberrechtsverletzend oder anstößig beim 
Suchmaschinen-Betreiber zu melden. Auch hier 



gab es die Möglichkeit des Feedbacks über ein 
Formular oder Email-Adresse. Wir haben auch 
gruselige Erklärungstexte verfasst, in denen 
unter anderem von "Kein Schmutz im Inter- 
net!" und "Zivilcourage" die Rede ist. [1] 
Außerdem werden 2% aller Webzugriffe auf 
eine Werbeanzeige umgeleitet. Diese kommt 
angeblich von lnterAd.gov, einer fiktiven Verei- 
nigung von ICANN, Corenic, Internic und des 
Amerikanischen Wirtschaftsministeriums. Die 
Begründung lautet: Da die US-Regierung sämt- 
liche Core-Server betreibt, müssten diese 
irgendwie finanziert werden. Jede Anzeige for- 
dert die Surfer außerdem dazu auf, einzuge- 
ben, wie viele US-Dollars sie für ein bestimmtes 
Produkt monatlich ausgeben würden. Welches 
Produkt das ist richtet sich nach der Anzeige, 
beworben werden die US-Marines, die Natio- 
nal Rifle Association, Novartis, Garth Brooks, 
eine Burger-Kette etc. Erst wenn hier ein Wert 
eingegeben wurde, kommen die Surfer wirklich 
auf die Seite, die sie eigentlich erwartet haben. 
Darauf wird auch im Anleitungstext deutlich 
hingewiesen. Ohne diese Eingabe bleibt der 
Browser auf der Anzeigen-Seite hängen, selbst 
der Back-Button funktioniert nicht mehr. Auch 
hier war Feedback möglich. 

Napster konnten wir verändern, da der Win- 
dows-Client zum Start des Programms über 
einen eingebetteten Internet-Explorer eine 
Seite von napster.com darstellt. Von dort aus 
öffneten wir ein rahmenloses Fenster über den 
gesamten Bildschirm, in dem man von Bertels- 
mann aufgefordert wird, unsinnig persönliche 
Daten zur Teilname am Napster preiszugeben. 

Als letztes bekamen die Studenten auf ihren 
eigenen Homepages und Projekt-Homepages 
Popup-Anzeigen von der Merz Akademie 
untergejubelt: "Click hereforgood education! " 



[1] http://online-demonstration.org:8888/netzgegen- 
rechts.yahoo.de/ 
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Einige oft besuchte Seiten bekamen zudem 
kleine Veränderungen oder komplette Umlei- 
tungen verpasst. Beliebte Flash-Animationen 
werden gegen eine immer gleiche, unglaublich 
häßliche Animation gewechselt. Wir tauschen 
viele weitere Worte, beispielsweise wird Nahost 
zu Balkan und Bombe zu Torte etc. 

All diese Manipulationen waren nur innerhalb 
der Merz Akademie aktiv. An der Akademie 
gibt es ungefähr 240 Studenten, wovon jeden 
Tag bis zu circa 150 erscheinen. Wie viele das 
Web nutzen wissen wir nicht genau. Durch 
unseren Proxy gingen täglich 100 bis 300 MB 
Daten, Spitzentage brachten bis zu 2 GB. Auf- 
gerufen werden vor allem Freemailer, Suchma- 
schinen, eigene Webprojekte, Design-Sites, 
Kataloge und - natürlich - Warez-Sites. 

Die Reaktionen verliefen ganz anders als erwar- 
tet. Zuerst waren wir sehr vorsichtig und setzen 
die Manipulationen noch vereinzelt oder mit 
einer geringen Wahrscheinlichkeit ein. Wir 
merkten jedoch bald, dass wir alle Register bis 
zum Anschlag ziehen konnten, ohne dass 
irgend jemand Verdacht schöpfen würde. Die 
Napster-Manipulation wurde schnell umgan- 
gen, da das Fenster einfach mit einem Tastatur- 
befehl zu schließen ist. Der Austausch der 
Politikernamen blieb bis auf einen Fall unbe- 
merkt: ein Student druckte sich eine besonders 
gelungene Seite bei Spiegel-Online aus. 

Auch bei der Global Penpals Association stellte 
fast niemand die Frage, woher diese denn 
eventuell über das Surfverhalten oder die per- 
sönlichen Einstellungen Bescheid wissen könne, 
wo doch jeder Freemail-Service beteuert, letz- 
tere Daten nicht herauszugeben. Nur ein Stu- 
dent schrieb eine entsprechende Nachricht. 
Und das war auch noch der selbe, dem der 
Austausch von Schröder und Kohl aufgefallen 
war. 

Die Suchmaschinenveränderung von netzge- 
genrechts.yahoo.de wurde kritiklos hingenom- 
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men. Es ist nicht einmal ein stiller Protest durch 
den Wechsel zu anderen Suchmaschinen 
erkennbar. Es wurde nicht ein einziges Mal die 
Informationsseite zu dieser Aktion aufgerufen. 

Die Popups auf den eigenen Homepages wur- 
den ebenso hingenommen, reflexartiges Schlie- 
ßen des Werbefensters konnten wir jedoch 
mehrmals beobachten. Unseren Testpersonen 
scheint also nicht klar zu sein, woher normaler- 
weise solch ein Werbefenster kommt. Dass 
jemand scheinbar an ihren Daten herumändert 
scheint nicht weiter wichtig. 

Das InterAd-Programm hingegen könnte man 
beinahe als Erfolg bezeichnen. Ein Student 
beschwerte sich bei der erfundenen InterAd- 
Behörde und schaute sich sogar die Informati- 
onsseite an. Weitere beschwerten sich, schein- 
bar ohne den zwei Sätze umfassenden und 
deutlichst sichtbaren Erklärungstext gelesen zu 
haben, bei der technischen Assistenz der Hoch- 
schule. Nur eine verschwindend geringe Anzahl 
von Studenten gaben Werte bei der Frage, wie 
viele Dollars sie monatlich für Feuerwaffen usw. 
ausgeben würden, ein. Immerhin kamen sie 
dadurch weiter auf die Seite, die sie eigentlich 
sehen wollten. Alle anderen schlössen einfach 
das Browser-Fenster. 

Aufgeflogen ist unsere zwei Wochen dauernde 
Manipulation nur, weil durch einen Speicher- 
Defekt unser gesamter Server ausfiel und 
dadurch ungefähr einen halben Tag keine 
Web-Zugriffe mehr möglich waren. Die techni- 
sche Assistenz merkte, dass die Rechner betrof- 
fen waren, an denen unser Server als Proxy 
eingestellt war. 

Daraufhin klärte unsere Dozentin die Techni- 
sche Assistenz und die Verwaltung über das 
Projekt auf. Einen Tag später schickte der 
Werkstattleiter eine Mail an alle Dozenten und 
Studenten, in der er darauf hinwies, dass wir 
Kreditkartennummern mitprotokolliert haben 
könnten. Das führte zu keiner Reaktion. Erst 
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am nächsten Tag schickten wir eine Nachricht 
an alle, in der wir genau erklärten, dass wir den 
gesamten Web-Traffic manipulieren (die Details 
zu einzelnen Filtern führten wir nur unvollstän- 
dig aus) und wie unser Projekt funktioniert, 
welchen Zweck es verfolgt. Wir lieferten einen 
Link auf eine von uns aufgesetzte Anleitungs- 
seite, welche beschreibt, wie der Proxy auszu- 
schalten ist. 

Das ist nun vierTage her [1], Reaktionen gab es 
bisher keine nennenswerten. Ein Student kam 
auf uns zu und fragte, ob wir seine Homepage 
nun manipuliert hätten, er wolle sich damit 
schließlich bewerben. Die Seite mit der Anlei- 
tung wurde 6 mal abgerufen, und das auch 
noch von Rechnern aus, die nicht durch unse- 
ren Proxy gingen. Fakt ist, dass der Proxy ein- 
fach auf den meisten Rechnern weiterläuft - 
wenn sich die technische Assistenz nicht darum 
gekümmert hat. Interessant ist auch, dass wir 
nicht für die Manipulationen beschuldigt wur- 
den, sondern für das angebliche Sammeln von 
Kreditkartennummern, was man mit jedem 
Firewall oder Packet-Sniffer machen könnte. 
Sind die Inhalte im Web denn egal? Selbst 
wenn ein Großteil der Studenten das Web zur 
Recherche und für Freemailer nutzt? 

Der Aufwand für unsere Software hielt sich in 
Grenzen. Wir sind nur zu zweit und haben 
innerhalb von vier Monaten ein recht komfor- 
tables und leistungsfähiges Programm geplant 
und umgesetzt. Die Manipulationsmöglichkei- 
ten sind umfangreich, nur wenige weitere Fea- 
tures wären "wünschenswert". Den Traffic an 
der Akademie zu überwachen stellt durch ein 
weiteres Datenbank-Tool, mit dem wir ver- 
schiedene URLs in Kategorien einteilen können, 
für zwei Personen trotz der verhältnismäßig 



[1] Anm. d. Red.: Die mail von Dragan und Alvar 
erreichte uns am 12.12.2000 - also kurz nach Redak- 
tionsschluss der ds73. Der Proxy ist aber nachwie vor 
erreichbar, ebenso die Homepage des Experiments 
http:// online-demonstration. orglinsert_coinl 



großen Diversität der abgerufenen Sites kein 
Problem dar. Größere Netzwerke zu manipulie- 
ren ist also durchaus möglich. 

Vorläufiges Fazit 

Wir gingen zu Beginn des Experiments davon 
aus, dass aufgrund der eingangs erwähnten 
medienkritischen Ausbildung das Projekt 
anders aufgenommen würde als beispielsweise 
vom typischen AOL-User. Dennoch wurden 
selbst obskure Manipulationen hingenommen, 
besonders hervorstechend der Suchmaschinen- 
Blockwart-Service. Die Möglichkeiten zur direk- 
ten Beschwerde oder auch nur Kontaktauf- 
nahme wurden nicht genutzt. Die Leute 
scheinen nicht das Gefühl zu haben, irgendet- 
was erreichen zu können, sondern sehen sich in 
der Konsumentenrolle. 

Nach dem öffentlichen Vorwurf des Leiters 
unserer Medienwerkstatt, wir würden persönli- 
che Daten ausspähen, passierte nichts weiter. 
Vier Erlärungsmöglichkeiten: Entweder die 
Leute vermuten, dass diese Behauptung falsch 
ist, sie verstehen nicht, was das zu bedeuten 
hatte, es ist ihnen egal oder sie lesen ihre Mails 
nicht. Auf die darauf folgende Richtigstellung 
von uns, wir hätten "nur" die Inhalte manipu- 
liert, geschah ebensowenig. Auch hier ist es 
den Leuten entweder egal, sie haben es nicht 
verstanden, oder auch diese Nachricht einfach 
nicht gelesen. Uns würde interessieren, was Ihr 
dazu denkt, ob ihr zu ähnlichen Schlussfolge- 
rungen kommen würdet und welche Beobach- 
tungen Ihr zu diesem Thema bereits eventuell 
gemacht habt. 

Als nächstes werden wir weitere Betroffene 
befragen, ob und wie sie die Manipulationen 
oder zumindest die Nachricht darüber aufge- 
nommen haben. Wenn jemand den Proxy 
selbst ausprobieren möchte, er läßt sich auch 
von außen einstellen: Proxy für http: 
195.226.105.73 bzw. student.merz-akade- 
mie.de Port: 7007 
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Webapplikationen 
mit JavaServer 
Pages 

von Hans Bergsten 



Überall ist die Rede von dynamischen Web- 
seiten und Webapplikationen. JavaServer 
Pages sind eine gute Möglichkeit für hoch 
komplexe Aufgaben. 

Am Anfang war das Web eine riesige Enzyklo- 
pädie, eine fast unendliche Sammlung mitein- 
ander verlinkter Texte. Dann kamen Bilder, 
Töne und auch kleine Animationen und Filme. 
Das Web wurde bunt, aber es war weiterhin 
statisch - die Seiten und Bilder sind nichts wei- 
ter als Dateien, die in einem Server-Verzeichnis 
abgelegt sind. Und trotz "Multimedia" ist die- 
ses blosse Einweg-Kommunikation: Der Server 
sendet, der Client empfängt. 

Dabei gibt es viele Gründe, den statischen Rah- 
men zu verlassen und Webseiten dynamisch zu 
generieren: Informationen können ständig 
aktualisiert werden, auf Benutzer(-gruppen) 
oder bestimmte Endgeräte zugeschnitten wer- 
den. Bestimmte Geschäftsanwendungen, Kom- 
munikations- und Transaktionsmodelle, 
erfordern situativ angepasste Seiten. Komplexe 
Webseiten mit wiederkehrenden Elementen 
können in einzelne Teile zerlegt werden, die 
dann leichter zu pflegen sind und aus unter- 
schiedlichen Quellen kommen, aber als ganze 
Seite an den Benutzer geschickt werden. Teilin- 
formationen kommen aus unterschiedlichen 
Quellen, usw. 

Der Webentwickler benötigt für solche Anwen- 
dungen einen Rahmen, d.h. Sprache und 



Werkzeuge, mit denen er diese entwickeln und 
programmieren kann. 

Eine gute Webapplikation trennt die statischen 
Elemente von den dynamischen, sie ist weitge- 
hend modular. Damit kann ein umfangreiches 
Projekt in mehrere Schritte aufgeteilt werden: 
Designer, Redakteure und Programmierer kön- 
nen ihre Bereiche entwickeln und pflegen, und 
über JavaServer Pages als Rahmen ihre Arbei- 
ten integrieren. Z.B. kann der Java-Progammie- 
rer die Prozesslogik programmieren und dem 
Designer als Komponente zu Verfügung stellen, 
dieser schreibt sie als JSP-Tags direkt in den 
HTML-Code. Wenn später die Programmie- 
rung geändert wird, bleiben die Schnittstellen 
erhalten. 

HTML-Forms und CGI-Skripte sind der erste 
Ansatz für eine Interaktion. Auf der Webseite 
macht der Benutzer Eingaben in einem HTML- 
Formular, die dann an den Server geschickt 
(Request) und dort von einem CGI-Skript ver- 
arbeitet werden. Das CGI-Skript stellt anhand 
der Eingabewerte und sonstiger Variablen die 
Antwort zusammen, übergibt diese an den Ser- 
ver, der sie dann an den Client sendet 
(Response). 

Cookies sind eine Möglichkeit, den Benutzer 
über mehrere Seitenaufrufe hinweg wiederzu- 
erkennen (Session-Management). Wenngleich 
Cookies durch das Anlegen und Ausspähens 
von Benutzerprofilen in Verruf gekommen sind. 

Ein weiterer Ansatz für eine server-seitige 
Dynamik sind Server Side Includes. Das sind 
bestimmte Tags innerhalb einer Webseite, 
sozusagen Platzhalter, an deren Stelle der Ser- 
ver beim Seitenaufruf bestimmte Inhalte ein- 
setzt. PHP folgt demselben Prinzip, geht aber 
mit den Möglichkeiten über SSI hinaus. 
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Client-seitige Techniken, Java Script und 
Applets, scheiden meistens aus, da ausserhalb 
des eigenen (Unternehmens-)Netzes sehr ver- 
scheidene Clients zu bedienen sind, die alle den 
jeweiligen Code unterschiedlich interpretieren. 

Für server-seitige Webapplikationen gibt es 
zwei Konzepte: 

1 . Die Anfrage wird an ein Modul geleitet 
(http:/Avww/servlets/some?a=x&b=y). Das 
Modul entscheidet anhand der Anfragepara- 
meter, auf welche Resource(n) es zugreifen soll 
und wie es diese als Antwort an den Client 
zurückschickt: 

out.println("<HTnL>") ■■, 

out.println("<BODY>") \ 

ou t • pr i n t In ( "<P>Heu te ist" + neu 

java • ut i 1 ■ Date ( ) ) \ 

out.printlnC". ■ ■ " ) i 

out.println("</HTHL>") =, 

Beispiele für das Modul-orientierte Konzept 

sind Java Servlets, CGI-Skripte. 

2. Die Anfrage richtet sich an eine Datei (http:/ 
/www/other.jsp?a=x&b=y), die ihrerseits von 
einem Modul gelesen wird, das dann die in der 
Seite zwischen den HTML-Tags eingebetteten 
Befehle ausführt: 

<HTHL> <B0»Y> <P>Heute ist <X= neu 
java.util .»atQ< ) '/.> ■■■ </HTHL> 

Zu dieser Gruppe gehören JavaServer Pages, 

Server Side Includes, PHP und andere. 

In beiden Fällen greift ein Modul auf eine 
Resource zu (Datei, Datenbankeintrag usw.), 
führt bestimmte Befehle aus und generiert dar- 
aus die Antwort. Genaugenommen funktionie- 
ren auch statische Webseiten so: Ein Modul 
(bei Apache ist das der default-handler) liest 
eine Datei und reicht diese an die Ausgabe wei- 
ter. 

Das erste Konzept betont die Prozesslogik, das 
Modul erzeugt den HTML-Code. Beim zweiten 
Konzept liegt der Schwerpunkt auf der einzel- 



nen Seite - das HTML-Gerüst liegt vor und 
integriert die dynamischen Elemente. 

Weil Server Pages von dem HTML-Seitenpara- 
digma ausgehen, sind sie einfacher zu erlernen. 
Das ist auch der Grund für die grosse Verbrei- 
tung von PHP und anderen. Dabei sind sie eine 
Untergruppe des ersten Konzepts. Server Pages 
werden oft auch als inside-out-Module 
bezeichnet. 

Der Vorteil von JavaServer Pages [1] gegenüber 
anderen Server Pages liegt in der Flexibilität 
und dem Umfang der Möglichkeiten, die Java 
mitbringt. Die Funktionen von JavaServer 
Pages können mittels weiterer Klassen, Java 
Beans und Tag Libraries, erweitert werden. 

Java selbst ist durchgehend objektorientiert 
und eignet sich gut, vergleichsweise einfach 
sehr komplexe Webapplikationen zu entwik- 
keln. Ausserdem können Java Servlets und 
JavaServer Pages auf die gesamten Java APIs 
zurückgreifen: JDBC, JRMI, EJB usw. (Hinzu 
kommen die immer wieder genannten Vorteile 
von Java: Platformunabhängigkeit, Skalierbar- 
keit usw.) 

Die Flexibilität und der Umfang von Java ist 
gleichzeitig auch ihr grösster Nachteil. Ohne 
eine Java Virtual Machine geht nichts. Aktuelle 
Versionen von Servlet- und JSP-Containern 
verlangen nach der neuesten Java-Version, 
diese ist dann nicht immer für alle Betriebssy- 
steme verfügbar. Und auch die objektorien- 
tierte Sprache verlangt einige Aufmerksamkeit, 
damit nicht am Ende riesige Klassenbibliothe- 
ken wegen einer einfachen Funktion geladen 
werden müssen. 

Die Vorteile von Java zahlen sich erst ab einer 
gewissen Grösse bzw. Komplexität aus - klei- 
nere Webapplikationen sind leichter in Perl 
oder PHP entwickelt als mit Java. Eine funktio- 



[1] http://java.sun.com/products/jsp/ 
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nierende JSP-Umgebung vorausgesetzt, bieten 
JavaServer Pages allerdings einen leichten Ein- 
stieg und man wird schnell die Möglichkeiten 
dieser Sprache zu schätzen lernen. 

Eine solche Servlet- und JSP-Umgebung ist 
Apache Tomcat [1]. Diese funktioniert als Web- 
server, ist OpenSource und gleichzeitig die 
Referenzimplementation für Java Servlets und 
JavaServer Pages. Wer bereits ein Java 
Development Kit installiert hat, hat auch den 
Apache-Tomcat-Server schnell eingerichtet. 
Dieser kommt mit Beispielen für Java Servlets 
und JavaServer Pages - auf Suns JSP-Webseite 
[1] finden sich Tutorials und die Spezifikatio- 
nen. 

Zum Buch 

Zu JavaServer Pages erschien vor wenigen 
Wochen ein Buch bei O'Reilly [2]. Wie viele 
Bücher aus dem O'Reilly-Verlag ist auch dieses 
ein guter Leitfaden zu dieser Technologie, 
sowohl als Einführung als auch als Nachschla- 
gewerk. Das Buch ist gut strukturiert und sehr 
ausführlich. Die vielen Beispiele lassen einen 
das dargestellte unmittelbar praktisch nachvoll- 
ziehen. 

Dieses Buch richtet sich an (Java-)Programmie- 
rer und HTML-Schreiber. Wer sich mit Web- 
applikationen und JavaServer Pages 
beschäftigen möchte (jeder Hacker sollte das, 
Anm. von Tom) und das nötige Kleingeld übrig 
hat, für den ist dieses Buch eine gute Investi- 
tion. Die deutsche Übersetzung erscheint vor- 
aussichtlich im August. <arne> 

Hans Bergsten, JavaServer Pages, Verlag O'Reilly, ISBN: 1- 
56592 -746-X USD 39.95 



[1] http: II jakarta.apache.org/ 

[21 http:llwww. oreilly. delcatalogljserverpagesl 
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Hackers At Large 2001: debating the future 
of the Internet. 

August 9th until August 12th 2001, University of 
Twente, Netherlands 

From August 9th until August 12th, the Cam- 
pus of the University of Twente will feature a 
congress that is unique in its kind: Hackers at 
Large, or HAL 2001 . The congress expects to 
receive thousands of guests from all over the 
world and from many different disciplines to 
debate issues ranging from advanced technical 
issues regarding some obscure aspect of the 
Internet to easy-to-understand lectures on 
some of the dangers of the information society, 
as well as many, many other topics. But more 
than debate, the guests at HAL2001 take 
ample time to get on-line, relax, build and dis- 
cuss cool stuff, and engage in good old analog 
interfacing. 

The congress is unique in that the participants 
bring their tent and their Computer, which is 
connected to a large high-speed outdoor Com- 
puter network that provides high bandwidth 
Internet Connectivity for everybody. On-site 
power generators provide all these Computers 
with the necessary power: more than 1 .5 
mega-Watts. 

Some of the people that are organizing HAL 
2001 were also involved in the former hacker 
movement in The Netherlands: those responsi- 
ble for the late hackers' magazine Hack-Tic and 
for setting up the first Internet Service Provider 
in The Netherlands called "XS4ALL". But also 
many people from Dutch universities, compa- 
nies and other Internet Service Providers parti- 
cipate in making this event possible. 

The HAL2001 Convention is the fourth in a 
series that has been running every four years 
since 1989. Quite a few of the participants at 
"The Galactic Hacker Party" (1989), "Hacking 
at the End of the Universe" (1993) and 
"Hacking in Progress" (1997) have been 



instrumental in bringing about the changes that 
are upon us today. 

HAL2001 is for those that can truly celebrate 
the Internet and embrace new technologies, 
without forgetting their responsability to teil 
others that all these wonderful new technolo- 
gies come with new risks to the individual and 
to society as a whole. 

(Quelle: Pressemitteilung) 



Easter(H)egg 2001 

13.4.2001 - 16.4.2001, Eidelstedter Bürgerhaus, 
Hamburg 

Dieses Jahr über Ostern (13.04.2001 bis 
16.04.2001) findet das erste Easter(H)egg 
statt. Im Gegensatz zum Congress in Berlin 
oder den Veranstaltungen des Chaos-Bildungs- 
werks in Hamburg soll das Easter(H)egg keine 
Vortragsveranstaltung sein, sondern Anfassen 
und Mitdenken ist das Motto: In zahlreichen 
ganztägigen Workshops werden Themen zur 
Computersicherheit, Netztechnik, Amateurfunk 
und Gesellschaft ausführlich behandelt, disku- 
tiert und gleich praktisch umgesetzt. Dabei tra- 
gen alle Teilnehmer der Workshops durch 
aktive Mitarbeit zum Gelingen bei. Aus diesem 
Grund wird es auch kein Hackcenter geben. 
Wegen des familiären Charakters der Veran- 
staltung ist die Zahl der Teilnehmer begrenzt. 
Eine vorherige Anmeldung ist daher zwingend 
erforderlich. Weitere Informationen und 
genaues Programm unter 

%://Www. hamburg.ccc.de/eh2001 
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Bestellungen, Mitgliedsanträge und Adressänderungen bitte senden an: 

CCCe.V., Lokstedter Weg 72, D-20251 Hamburg 
Adressänderungen und Rückfragen auch per E-Mail an: office@ccc.de 

- Satzung + Mitgliedsantrag 
DM 5,00 

- Datenschleuder-Abonnement, 8 Ausgaben 
Normalpreis DM 60,00 für 
Ermässigter Preis DM 30,00 

Gewerblicher Preis DM 100,00 (Wir schicken eine Rechnung) 

- Alte Ausgaben der Datenschleuder auf Anfrage 

- Chaos CD blue, alles zwischen 1982 und 1999 
DM 45,00 + DM 5,00 Portopauschale 

Die Kohle 

- liegt als Verrechnungsscheck bei 

- wurde überwiesen am . . an 

Chaos Computer Club e.V., Konto 59 90 90-201 
Postbank Hamburg, BLZ 200 100 20 

Name: 

Strasse: 

PLZ, Ort: 

Tel., Fax: 

E-Mail: 

Ort, Datum: 

Unterschrift: 
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Dienstag, 20. Februar 2001 



Computer 
und Internet 

Fidel der Hacker 

Admiral sieht Kulms Computer als Gefahr 

Fidel Castro, Kubas alternder Revoluti- 
onsheld, ist der größte Hacker aller Zei- 
ten, Das glaubt zumindest der amerikani- 
whe Adriurat Tom WUson, Leiter des ml- 
Ütärischcn Geheimdienstes Defense Jn- 
telliyence. Agency. Einwn Komitee des 
US-Senats sagte Wilson, der Maximo Lf- 
d*r bereite wotnöglich eine Computerat- 
lacke auf die USA vor. „Sie haben einen 
starken Geheimdienst, gute Sicherheits- 
technik und das Potenzial, unser Militär 
durch asymmetrische Taktik durcheinan- 
der zu bringen." Und damit meinte der 
Admiral: „hiforTnaüons-Kriegsfühmng 
oder Angriffe auf Computer-Netzwerke, 
um damit unseren Zugang zu der Hegion 
oder die Verlegung von Truppen zu stö- 
ren". Der CIA-Direktor George Tenet 
warnte in der selben Sitzung, das» der 
Terrorist Osama bin I«iden moderne Ver- 
s c hl üsseiungs- Software benutze, um die 
Kommunikation seiner Organisation vor 
Geheimdiensten zu schützen. Beobacit- 
ter in Washington erwarten, dass der US- 
Kongress nach diesen Warnungen die Ex- 
port-fiiehtiinien für Ver.schlüsselungs- 
programroe verschärfen könnte. cris 



Tarnen und Täuschen war einst das 
Motto von Spionen. Die Tarnungübi Fi- 
del Castro offenbar schon. Houtaß 
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